GB 15843.2-1997 信息技术 安全技术 实体鉴别 第2部分;采用对称加密算法的机制.pdf

1、中华人民共和国国家标准信息技术安全技术实体鉴别第部分采用对称加密算法的机制发布实施国家技术监督局发布前言本标准等同采用国际标准信息技术安全技术实体鉴别第部分采用对称加密算法的机制该标准规定了用对称加密算法实现的实体鉴别机制它适合于我国使用在总标题信息技术安全技术实体鉴别机制下由下列部分组成第部分一般模型在总标题信息技术安全技术实体鉴别下还由下列部分组成第部分采用对称加密算法的机制第部分采用公开密钥算法的实体鉴别第部分采用密码校验函数的机制第部分采用零知识技术的机制本标准中的附录附录附录都是提示的附录本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位电子工业部第

2、三十研究所电子工业部标准化研究所本标准主要起草人龚奇敏方姝妹杜明钰李桂茹向维良前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体它们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由联合技术委员会信息技术的分委员会安全技术起草的在总标题信息技术安全技术实体鉴别机制下由下列部分组成

3、第部分一般模型第部分采用公开密钥算法的实体鉴别在总标题信息技术安全技术实体鉴别下还由下列部分组成第部分采用对称加密算法的机制第部分采用密码校验函数的机制第部分采用零知识技术的机制注上述第部分和第部分之前的总标题在下一个修订版中将调整为第第和第部分之前的总标题也可能还有其他部分跟随其后本标准的附录附录和附录只作为信息提供中华人民共和国国家标准信息技术安全技术实体鉴别第部分采用对称加密算法的机制国家技术监督局批准实施范围本标准规定了采用对称加密算法的实体鉴别机制其中有四种是两个实体间无可信第三方参与的鉴别机制而这四种机制中有两种是单个实体鉴别单向鉴别另两种是两个实体相互鉴别其余的机制都要求有一个可

4、信第三方参与以便建立公共的秘密密钥实现相互或单向的实体鉴别本标准中规定的机制采用诸如时间标记顺序号或随机数等时变参数防止先前有效的鉴别信息以后又被接受如果没有可信第三方参与又采用时间标记或顺序号则对于单向鉴别只需传送一次信息而要达到相互鉴别必须传送两次如果没有可信第三方参与又采取使用随机数的询问应答方法时单向鉴别需传送两次信息而相互鉴别则需要传送三次如果有可信第三方参与则一个实体与可信第三方之间的任何一次附加通信都需要在通信交换中增加两次传送引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本

5、的可能性信息技术安全技术实体鉴别机制第部分一般模型定义和记法本标准使用中的定义和记法要求本标准规定的鉴别机制中待鉴别的实体通过表明它拥有某秘密鉴别密钥来证实其身份这可由该实体用其秘密密钥加密特定数据达到共享其秘密鉴别密钥的任何实体都可以将加密后的数据解密这些鉴别机制有下列要求若其中任何一个不满足则鉴别进程就会受到损害或根本不能实现向验证者证实其身份的声称者在应用第章的机制时应和该验证者共享一个秘密鉴别密钥在应用第章的机制时每个实体和公共的可信第三方都分别共享一个秘密鉴别密钥这些密钥应当在正式启动鉴别机制前就为有关各方掌握达到这一点所采用的方法已超出了本标准的范围如果涉及到可信第三方它应得到声称

6、者与验证者的共同信任声称者与验证者共享的秘密鉴别密钥或实体与可信第三方共享的秘密鉴别密钥应仅为这两方或双方都信任的其他方所知注加密算法与密钥生存期的选择应满足密钥在其生存期内就被推算出来在计算上是不可行的此外在选择密钥生存期时还应防止已知明文和选择明文的攻击在或两条假设中需满足一条鉴别机制中使用的加密算法与工作方式应能向接收方提供检测数据被伪造或篡改过的方法这就要求数据有足够的冗余度并要求明文的任何修改都将导致不可预测的大量密文位的修改提供足够冗余度的一种可能的方法就是在数据加密前附上一个散列码注散列函数已在中标准化如果加密使用块密码算法且块长度小于被加密的数据长度那么任何一个块的更换都应是可

7、检测的应由独立的数据完整性机制来确保已加密数据的完整性注数据完整性机制已在中标准化不涉及可信第三方的机制这些鉴别机制中实体和在开始具体运行鉴别机制之前应共享一个公共的秘密鉴别密钥这些机制要求使用诸如时间标记顺序号或随机数这样的时变参数这些参数的特性尤其是它们很难在鉴别密钥生存期内重复的特性对于这些机制的安全性是十分重要的附加信息见附录以下机制中规定的所有文本字段同样适用于本标准范围之外的应用它们可能是空的它们的关系与内容取决于具体的应用有关文本字段使用的信息见附录提示的附录单向鉴别单向鉴别是指使用该机制时两实体中只有一方被鉴别一次传送鉴别这种鉴别机制中由声称者启动此进程并被验证者鉴别唯一性时间

8、性是通过产生并校验时间标记或顺序号见附录提示的附录来控制的鉴别机制示于图图声称者发送给验证者的权标形式是此处声称者或者用顺序号或者用时间标记作为时变参数具体选择哪一个取决于声称者与验证者的技术能力及环境在中是否包含区分标识符是任选的注在中包含区分标识符是为防止敌人假冒实体重复使用实体的这种包含之所以被作成可任选是因为在不会出现这类攻击的环境中可将标识符省去如果实体和共享一个秘密密钥而只用于对的鉴别那么标识符也可省去权标则变为图中向发送一旦收到包含的消息便将加密部分解密并检验区分标识符如果有的话以及时间标记或顺序号的正确性从而验证两次传送鉴别这种鉴别机制中验证者启动此进程并对声称者进行鉴别唯一性

9、时间性是通过产生并检验随机数见附录来控制的鉴别机制示于图图由声称者发送给验证者的权标形式是在中是否包含区分标识符是任选的注在中包含区分标识符是为防止所谓的反射攻击这种攻击的特性是入侵者假冒将询问反射给区分标识符的包含之所以做成可任选是因为在不会出现这类攻击的环境中可将标识符省去如果实体和共享一个秘密密钥而只用于对的鉴别那么区分标识符也可省去权标则变为图中向发送一个随机数并可任选地发送一个文本字段向发送一旦收到包含的消息便将加密部分解密并检验区分标识符如果有的话的正确性以及在步骤中发送给的随机数是否与中所含的随机数相符从而验证相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别和分别采用和中描

10、述的两种机制以实现相互鉴别这两种情况都要求增加一次传送从而增加了两个操作步骤注相互鉴别的第三种机制可由中规定的机制的两种情况构成一种由实体启动另一种由启动两次传送鉴别这种鉴别机制中唯一性时间性是通过产生并检验时间标记或顺序号见附录来控制的鉴别机制示于图图由发送给的权标形式与规定的相同由发送给的权标形式是在中是否包含区分标识符在中是否包含区分标识符是可独立地任选的注中的区分标识符是为防止敌人假冒实体重用实体的同样的原因包含区分标识符区分标识符的包含之所以作成可任选是因为在不会出现这类攻击的情况下将其中之一或二者都省去如果实体和共享两个秘密密钥和它们分别用于对和对的鉴别则区分标识符与可省去权标变为

11、这种机制中选择时间标记还是顺序号取决于声称者与验证者的能力及环境图中步骤和与中规定的一次传送鉴别相同向发送步骤中的消息处理方式与步骤类似注这种机制中两条消息之间除了时间上有隐含关系外没有任何联系该机制独立地两次使用机制如果希望这两条消息进一步发生联系可适当使用文本字段见附录来进行三次传送鉴别这种鉴别机制中唯一性时间性是通过产生并检验随机数见附录来控制的鉴别机制示于图图权标形式如下注中包含是为防止由导出中是否包含区分标识符是可任选的注中的区分标识符是为防止所谓的反射攻击这种攻击的特性是入侵者假冒将询问反射给区分标识符的包含之所以作成可任选是因为在不会出现此类攻击的环境中可以将其省去如果实体和共享

12、两个秘密密钥和它们分别用于对和对的鉴别区分标识符亦可省去权标则为图中向发送一个随机数和可任选地发送一个文本字段向发送一旦收到包含的消息便将加密部分解密并检验区分标识符如果有的话的正确性以及步骤中发给的随机数是否与中含的随机数相符从而验证向发送一旦收到包含的消息便将加密部分解密并检验在步骤中来自的随机数是否与中的随机数相符以及在步骤中发送给的随机数是否与中的随机数相符涉及可信第三方的机制这些鉴别机制均不需要两个实体在鉴别过程前共享秘密密钥而是利用一个可信第三方带区分标识符它与实体和分别共享秘密密钥和每个机制中先由一个实体向可信第三方申请密钥此后再分别采用和中描述的机制按照下面的描述如果只要求单向

13、鉴别则可省略每个机制中的某些传送注这些机制不向可信第三方提供任何有关实体和身份的保证此外如果鉴别失败也不会有任何信息指出哪一次交换被入侵者修改或产生这些机制要求使用时变参数如时间标记顺序号或随机数这些参数的特性尤其是它们在鉴别密钥生存期限内极难重复的特性对于这些机制的安全性是十分重要的附加信息见附录以下机制中规定的所有文本字段都可用于本标准范围之外的应用它们可能是空的它们的关系和内容取决于具体应用有关文本字段使用的信息见附录四次传送鉴别在这种相互鉴别机制中唯一性时间性是通过使用时变参数见附录控制的鉴别机制示于图图由发送给的权标形式是由发送给的权标形式是由发送给的权标形式是在这种机制中选择时间标

14、记还是顺序号取决于有关实体的能力和环境在图的步骤到步骤中规定的时变参数的使用方法与通常的有所不同它允许将响应消息与请求消息联系起来此处时变参数的重要特性是它的不可重复性以限制先前用过的可能被重用图中向可信第三方发送一个时变参数区分标识符以及可任选地发送一个文本字段可信第三方向发送一旦收到包含的消息便将在下加密的数据解密并检验区分标识符的正确性以及在步骤中发送给的时变参数是否与中的时变参数相符从而验证此外提取出秘密鉴别密钥然后再从中取出并构造向发送一旦收到包含的消息便将加密部分解密并检验区分标识符和以及时间标记或顺序号的正确性从而验证此外提取出秘密鉴别密钥向发送一旦收到包含的消息便将加密部分解密

15、并检验区分标识符以及时间标记或顺序号的正确性从而验证如果只要求对的单向鉴别步骤和可省去五次传送鉴别这种相互鉴别机制中唯一性时间性是用随机数见附录来控制的鉴别机制示于图图发送给的权标形式是发送给的权标形式是发送给的权标形式是图中向发送一个随机数和可任选地发送一个文本字段向可信第三方发送随机数和区分标识符以及可任选地发送一个文本字段可信第三方向发送一旦收到包含的消息便将在下加密的数据解密并检验区分标识符的正确性以及在步骤中发送给的随机数是否与中的随机数相符从而验证此外提取出秘密鉴别密钥然后再从中取出并构造向发送一旦收到包含的消息便将加密部分解密并检验区分标识符的正确性以及在步骤中发送给的随机数是否

16、与中的该随机数的两个副本相符从而验证此外还提取出秘密鉴别密钥向发送一旦收到包含的消息便将加密部分解密并检验在步骤中从收到的随机数是否与中包含的那个随机数相符以及在步骤中发送给的随机数是否与中包含的那个随机数相符如果只要求对的单向鉴别步骤和可以省去附录提示的附录文本字段的使用本标准的第章和第章规定的权标包含了文本字段在给定传送中不同文本字段的实际使用及各文本字段间的关系取决于具体应用以下给出一些实例如果权标不包含足够的冗余度已加密的文本字段可用于提供附加冗余度要求保密性或数据源鉴别的任何信息都应放在该权标的加密部分处文本字段可以包含附加的时变参数例如在机制中如果已用了顺序号那么的文本字段可以包含

17、时间标记这样通过要求消息接收者验证消息中的任何时间标记是否都在一个预先规定的时间窗口内的方法可以检测出人为延迟见附录如果有效密钥不止一个那么明文文本字段应包括密钥标识符如果可信第三方不止一个那么文本字段可用于包括所涉及的那个可信第三方的区分标识符文本字段也可用于密钥分配见假如本标准规定的任何一种机制嵌入到这样一种应用即如果该机制启动之前它允许一个实体采用附加消息开始鉴别那么有些入侵攻击就变得可能为了抵抗这类攻击可用文本字段说明哪个实体要求鉴别这类攻击的特性是入侵者可能重用一个非法获得的权标附录提示的附录时变参数时变参数是用于控制唯一性时间性的它们能使先前发送过的消息再使用时被检测出来为实现这一

18、点每次使用机制时其鉴别信息都应不同验证者应直接或间接地控制其变化某些类型的时变参数也允许检测人为延迟由敌人引入通信媒体的延迟在涉及一次以上传送的机制中可通过其他方法如采用超时计时法来强行规定具体消息间可允许的最大时间间隙检测人为延迟本标准使用的三类时变参数是时间标记顺序号和随机数在不同的应用中可根据实现需要选择最可取的时变参数有时也可以适当选用一种以上时变参数如同时选择时间标记和顺序号有关选择参数的细节不在本标准范围之内时间标记涉及时间标记的机制利用逻辑上链接通信双方的同一个时间基准建议使用的基准时钟是国际标准时间验证者使用某种固定大小的接收窗口验证者通过计算接收到的已验证权标中的时间标记与验

19、证者在收到权标时的时间之差来控制时间性如果差值落在窗口内消息就被接收通过在当前窗口中登录所有消息并拒收第二次和以后出现的与该窗口中同样的消息的方法来验证唯一性应该采用某种机制确保通信各方的时钟同步以便时间基准处在验证者的间接控制之下而且时钟同步性能要足够好使通过重用达到冒名顶替的可能性小到可接受的程度还应确保与验证时间标记有关的所有信息特别是通信双方的时钟不会被篡改时间标记可用来检测人为延迟顺序号因为顺序号可以使验证者检测消息的重用可以用顺序号控制唯一性声称者和验证者预先就如何以特定方式给消息编号的策略达成一致基本思想是特定编号的消息只能被接受一次或在规定时间内只接受一次然后再检验验证者收到的

20、消息根据上述策略判断消息中的顺序号是否可接受这样顺序号就在验证者的间接控制之下如果顺序号不符合上述策略该消息则被拒绝使用顺序号时可要求附加簿记声称者应维护先前用过的顺序号和或将来可用的有效顺序号的记录该声称者应为所有他希望与之通信的潜在验证者保存上述记录同样验证者也应为所有可能的声称者保存这些记录当正常定序被破坏的情况如系统故障发生时则需要有专用程序来重置和或重新启动顺序号计数器声称者使用顺序号不能保证验证者能检测出人为延迟对于涉及两个或两个以上消息的机制如果消息发送者能检测出消息发送与预期的回复接收之间的时间间隔并在延迟超过预先规定的时间间隙时拒绝此消息就可以测出人为延迟随机数本标准规定的各

21、种机制使用的随机数可防止重用攻击或交错攻击本标准所述的随机数还包括不可预测的伪随机数为防止重用或交错攻击验证者获得一个发送给声称者的随机数声称者又将该随机数放在返回权标的加密部分予以响应这通常称为询问应答这一过程将包含特定随机数的两个消息联系起来如果同一个随机数被验证者再次使用记录原始鉴别交换的第三方就能将记录下的权标发送给验证者从而使自己假冒为声称者的行为得逞为防止这类攻击随机数不重复的概率必须很高按照定义随机数是不可预测的而且如果随机数从很大范围内取值则可认为它们的不重复概率可达很高声称者使用随机数不能保证验证者能检测人为延迟附录提示的附录参考文献信息技术安全技术用块密码算法作密码校验函数的数据完整性机制信息技术安全技术散列函数第部分概述信息技术安全技术散列函数第部分采用位块密码算法的函数信息技术安全技术密钥管理第部分采用对称技术的机制