中华人民共和国国家标准信息技术安全技术实体鉴别第部分采用密码校验函数的机制发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术实体鉴别第部分采用密码校验函数的机制本标准为实体间的信息交换规定了使用密码校验函数的实体鉴别机制它适合于我国使用在总标题信息技术安全技术实体鉴别下由以下几个部分组成第部分概述第部分采用对称加密算法的机制第部分采用公开密钥算法的实体鉴别第部分采用密码校验函数的机制第部分采用零知识技术的机制本标准的附录附录附录和附录均是提示的附录本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准由中国电子技术标准化研究所西南通信技术研究所负责起草本标准主要起草人罗韧鸿向维良雷利民前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体它们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由联合技术委员会信息技术的分委员会安全技术起草的在总标题信息技术安全技术实体鉴别机制下由下列部分组成第部分采用公开密钥算法的实体鉴别在总标题信息技术安全技术实体鉴别下由下列部分组成第部分概述第部分采用对称加密算法的实体鉴别第部分采用密码校验函数的机制第部分采用零知识技术的机制注上述第部分的总标题在下一个修订版中将调整为第第第和第部分之前的总标题也可能还有其他部分跟随其后本标准的附录和均是提示性的附录中华人民共和国国家标准信息技术安全技术实体鉴别第部分采用密码校验函数的机制国家质量技术监督局批准实施范围本标准规定了采用密码校验函数的实体鉴别机制其中有两种是单个实体的鉴别单向鉴别其余的是两个实体的相互鉴别本标准所规定的机制采用诸如时间标记顺序号或随机数等时变参数以防止有效的鉴别信息以后又被接受如果采用时间标记或顺序号对于单向鉴别只需一次传递而要达到相互鉴别则需两次传递如果采用了使用随机数的询问和应答方法单向鉴别需两次传递而达到相互鉴别需要三次传递密码校验函数的例子见附录引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术实体鉴别第部分概述定义和记法本标准使用了中描述的定义和记法此外还使用下列定义和记法密码校验值通过在数据单元上执行密码变换而得到的信息见密码校验值它是以密钥和任意字符串作为输入使用密码校验函数所得的结果由实体原发的时变参数它或者是时间标记或者是顺序号要求本标准规定的鉴别机制中待鉴别的实体通过表明它拥有某个秘密鉴别密钥来证实其身份这可通过由该实体以其秘密密钥和特定数据作为输入使用密码校验函数获得密码校验值来达到密码校验值可由拥有该实体的秘密鉴别密钥的任何实体来校验这个实体能重新计算密码校验值并与所收到的值进行比较这些鉴别机制有下述要求如果其中任何一个不满足则鉴别进程应会受到损害或根本不能实现向验证者证实其身份的声称者与该验证者共享一个秘密鉴别密钥在正式启动鉴别机制之前此密钥应为有关各方所知道向各个实体分发密钥的方法不属本标准的范围声称者和验证者共享的秘密鉴别密钥应仅为这两个实体所知以及可能为双方都信任的其他方所知以秘密密钥和一个任意字符串作为输入以产生的密码校验函数应满足下列特性对于任何密钥和数据串计算应是实际可行的对于任意固定的密钥假定事先不知道即使知道一组配对使得要找出一对新的使得在计算上是不可行的其中的值可以在看到的值后选定各种机制的强度取决于密钥的长度和密钥的保密取决于密码校验函数也取决于校验值的长度对这些参数的选择应满足要求的安全级别它们可由安全策略来规定机制这些鉴别机制中实体和在开始具体运行鉴别机制之前应共享一个公共的秘密密钥或两个单向秘密密钥和在后一种情况下单向秘密密钥和分别用于由对进行鉴别和由对进行鉴别这些机制要求使用诸如时间标记顺序号或随机数等时变参数这些参数的特性尤其是它们很难在鉴别密钥生命期内重复的特性对于这些机制的安全性是十分重要的附加信息见附录下列机制中规定的所有文本字段可在本标准范围之外的应用中得到这些文本字段可能是空的它们的关系和内容还取决于具体的应用有关文本字段使用的信息见附录如果验证者能够独立确定文本字段例如它被提前知道或以明的方式发送或能从两个源中的一个或两个推导出来则文本字段可以只包括在密码校验函数的输入中单向鉴别单向鉴别是指使用该机制时两个实体中只有一方被鉴别一次传递鉴别这种鉴别机制中声称者启动此进程并由验证者对他进行鉴别唯一性时间性是通过产生并校验时间标记或顺序号见附录来控制的鉴别机制示于图图声称者发送给验证者的权标形式是此处声称者或者用顺序号或者用时间标记作为时变参数具体选用哪一个取决于声称者与验证者的技术能力以及环境中是否包含可区分标识符是任选的注在中包含可区分标识符是为了防止敌人假冒实体来重复使用实体的这种包含是任选的这使得在不会出现这类攻击的环境中可将标识符省去如果使用一个单向密钥那么可区分标识符也可省去向发送一旦收到包含的消息就检验时间标记或顺序号计算且将其与权标的密码校验值进行比较并验证可区分标识符如果有的话以及时间标记或顺序号的正确性从而验证两次传递鉴别在这种鉴别机制中验证者启动此进程并对声称者进行鉴别唯一性时间性是通过产生并检验随机数见附录来控制的鉴别机制示于图图由声称者发送给验证者的权标形式是在中是否包含可区分标识符是任选的注在中包含可区分标识符是为了防止所谓的反射攻击这种攻击的特性是入侵者假冒将询问反射给这种包含是任选的这使得在不会出现这类攻击的环境中可将标识符省去如果使用了单向密钥则可区分标识符也可省去向发送一个随机数并可任选地发送一个文本字段向发送一旦收到包含的消息就计算且将其与权标的密码校验值进行比较并验证可区分标识符如果有的话的正确性以及在步骤中发送给的随机数是否与中所含的随机数相符从而验证相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别和分别采用和中描述的两种机制以实现相互鉴别这两种情况都要求增加一次传递从而增加了两个操作步骤注相互鉴别的第三种机制可由中规定的机制的两种情况构成一种由实体启动另一种由启动两次传递鉴别这种鉴别机制中唯一性时间性是通过产生并检验时间标记或顺序号见附录来控制的鉴别机制示于图图由发送给的权标形式与所规定的相同由发送给的权标形式为在中是否包含可区分标识符在中是否包含可区分标识符是独立地任选的注中包含可区分标识符是为防止敌方假冒实体重复使用实体的因为同样的原因在中包含可区分标识符对它们的包含为任选的是为了使得在不会出现这类攻击的环境下将其中之一或二者都可省去如果使用了单向密钥见下面则可区分标识符和也可省去在这种机制中选择时间标记还是顺序号取决于声称者与验证者的能力及环境步骤和步骤与一次传递鉴别中规定的相同向发送步骤中的消息处理方式与的步骤类似注这种机制中两条消息之间除了时间上有隐含关系外没有任何联系该机制独立地两次使用机制如果希望这两条消息进一步发生联系可适当使用文本字段见附录来实现如果使用单向密钥那么中的密钥由单向密钥所代替并在步骤使用合适的密钥三次传递鉴别这种相互鉴别机制中唯一性时间性是通过产生并检验随机数见附录来控制的鉴别机制示于图图权标形式如下注中包含是为了防止由导出中是否包含可区分标识符是任选的注中包含可区分标识符是为了防止所谓的反射攻击这种攻击的特性是入侵者假冒将询问反射给对可区分标识符的包含为任选的是为了使得在不会出现这类攻击的环境中可以将其省去如果使用单向密钥见下面那么可区分标识符也可以省去向发送一个随机数并可任选地发送一个文本字段向发送一旦收到包含的消息就计算且将其与权标的密码校验值进行比较并验证可区分标识符如果有的话的正确性以及在步骤中发送给的随机数是否与中所含的随机数相符从而验证向发送一旦收到包含的消息就计算且将其与权标的密码校验值进行比较并验证在步骤中从所接收到的随机数是否与中的随机数相符及在步骤中发给的随机数是否与中的随机数相符过程中使用了验证如果使用单向密钥那么中的密钥将由单向密钥代替并在步骤使用合适的密钥附录提示的附录文本字段的使用本标准第章规定的权标包括了文本字段在一次给定传递中不同文本字段的实际使用及各文本字段间的关系取决于具体应用下面给出一些例子任何要求进行数据原发鉴别的信息都应在计算权标的密码校验值中使用文本字段可以包含附加的时变参数例如如果在机制中使用了顺序号那么在的文本字段中可以包含时间标记这样通过要求消息接收者验证消息中的任何时间标记是否都在一个预先规定的时间窗口内可以检测出人为延迟见附录如果有效密钥不止一个那么明文文本字段可用于包括密钥标识符假如本标准规定的任何一种机制嵌入到这样一种应用即在此机制启动之前它允许任一个实体采用附加消息开始鉴别那么有些入侵攻击就变得可能为了抵抗这类攻击可用文本字段说明哪个实体要求鉴别这类攻击的特性是入侵者可能重用一个非法获得的权标附录提示的附录时变参数时变参数是用于控制唯一性时间性的它们能使先前发送过的消息重演时被检测出来为实现这一点各次交换发生时鉴别信息都应不同验证者应直接或间接地控制其变化某些类型的时变参数也允许检测人为延迟由敌方引入通信媒体的延迟在涉及一次以上传递的机制中可通过其他方法如采用超时时钟来强行规定具体消息间可允许的最大时间间隙检测人为延迟本标准使用的三类时变参数是时间标记顺序号和随机数在不同的应用中可根据实现需要选择最可取的时变参数有时也可以适当选用一种以上时变参数如同时选择时间标记和顺序号有关选择参数的细节不在本标准范围之内时间标记涉及时间标记的机制利用逻辑上链接通信双方的同一个时间基准建议使用基准时钟是国际标准时间验证者使用某种固定大小的接收窗口验证者通过计算接收到的已验证权标中的时间标记与验证者在收到权标时的时间之差来控制时间性如果差值落在窗口内消息就被接收通过在当前窗口中登录所有消息并拒收第二次和以后出现的与该窗口中同样的消息的方法来验证唯一性应该采用某种机制确保声称者和验证者的时钟同步以便时间基准处在验证者间接控制之下而且时钟同步性能要足够好使通过重演达到冒名顶替的可能性小到可接受的程度还应确保与验证时间标记有关的所有信息特别是两个通信实体的时钟不会被篡改时间标记可用来检测人为延迟顺序号因为顺序号可以使验证者检测消息的重演可以用顺序号控制唯一性声称者和验证者预先就如何以特定方式给消息编号的策略达成一致基本思想是特定编号的消息只能被接受一次或在规定时间内只接受一次然后再检验验证者收到的消息根据上述策略判断消息中的顺序号是否可接受这样顺序号就在验证者的间接控制之下如果顺序号不符合上述策略则该消息被拒绝使用顺序号时可要求附加簿记声称者应维护先前用过的顺序号和或将来可用的有效顺序号的记录该声称者应为所有他希望与之通信的潜在验证者保存上述记录同样验证者也应为所有可能的声称者保存这些记录当正常定序被破坏的情况如系统故障发生时则需要有专用程序来重置和或重新启动顺序号计数器声称者使用顺序号不能保证验证者能检测出人为延迟对于涉及两个或两个以上消息的机制如果消息发送者能检测出消息发送与预期的回复接收之间的时间间隔并在延迟超过预先规定的时间间隙时拒绝此消息就可以测出人为延迟随机数本标准所规定的各种机制中使用的随机数可防止重演攻击或交错攻击本标准中使用术语随机数还包括了满足同一要求的伪随机数为防止重演或交错攻击验证者获得一个发送给声称者的随机数声称者又以将该随机数放在返回权标的鉴别数据中予以响应这通常称为询问应答这一过程将包含特定随机数的两个消息联系起来如果同一个随机数被验证者再次使用记录原发鉴别交换的第三方就能将记录下的权标发送给验证者为了防止这类攻击要求随机数不重复的概率必须很高按照定义随机数是不可预测的而且如果随机数从很大范围内取值则可认为它们的不重复概率可达很