1、ICS 35.030 CCS L 80 中华人民共和国国家标准G/T 17903.2-2021 代替G/T17903.2-2008 信息技术安全技术抗抵赖第2部分:采用对称技术的机制Information technology-Security techniques-Non-repudiation一Part 2: Mechanisms using symmetric techniques 2021-10-11发布(ISO/IEC 13888-2 :2010 MOD) 国家市场监督管理总局峪舍国家标准化管理委员会叩2022-05-01实施GB/T 17903.2-2021 目次IE1112233
2、3344566689刊刊刊口umD HR NH 选必和|.-R 债N实DD选制RRb附加NN刷项到赖选也puu制制抵-Ad吓证数哑机机抗00门验的验. 的赖JVRR为与用牌制制牌抵制川NN中成牌使令.机机令抗与选选有件生令制牌的制制赖赖戳赖必必带的惜机令行机机抵抵司抵L23用义牌也赖赖进赖赖抗抗们性抗MMM引定求封令咛抵抵P抵抵发付阳料发制制制.性和语要信赖T抗抗忖抗抗原交获啧原机机机献围范语略号用全抵A1234文范规术缩符通安抗J2JJ言言88889919.录AAAA考前引123456789附参GB/T 17903.2-2021 前言本文件按照GS/T1.1-2020(标准化工作导则第1部分
3、:标准化文件的结构和起草规则的规定起草。本文件是GS/T17903(信息技术安全技术抗抵赖的第2部分。GS/T17903已经发布了以下部分:第1部分:概述;一一第2部分:采用对称技术的机制;第3部分:采用非对称技术的机制。本文件代替GS/T17903.2-2008(信息技术安全技术抗抵赖第2部分:采用对称技术的机制。与GS/T17903.2-2008相比,除结构调整和编辑性改动外,主要技术变化如下:a) 增加了第5章符号;b) 删除了原第6章本文件各章的组织;c) 增加了9.1抗抵赖机制;d) 增加了图1和图2;e) 删除了原9.3和9.1中的技术内容;f) 将原第10章的技术内容移至附录A中
4、。本文件使用重新起草法修改采用ISO/IEC13888-2: 201 0(信息技术安全技术抗抵赖第2部分:采用对称技术的机制。本文件与ISO/IEC13888-2: 201 0的技术性差异及其原因如下:一一关于规范性引用文件,本文件做了具有技术性差异的调整,以适应我国的技术条件,调整的情况集中反映在第2章规范性引用文件中,具体调整如下: 用等同采用国际标准的GB/T17903.1代替了ISO/IEC13888-10 删除了规范性引用文件TSO/IEC9798-1 : 1997和ISO/IEC10118(所有部分),这些规范性引用文件仅在术语中作为来源引用。 增加了规范性引用文件GS/T1585
5、2 ,GS/T 15852规定了消息鉴别码算法,是本文件中应用的重要密码算法。 增加了规范性引用文件GS/T20520和GS/T250690 一一增加了图1和图2,以帮助理解第9章的技术内容。删除了部分与GS/T25069重复的通用术语,改为在第3章引用GS/T25069的形式。本文件做了下列编辑性修改:纳人了ISO/IEC13888-2: 201 0/Cor.1 : 2012的技术勘误,所涉及的条款的外侧页边空白位置用垂直双线(11 )进行了标示。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本
6、文件起草单位:中国科学院软件研究所、网神信息技术(北京股份有限公司、中国科学院数据与通信保护研究教育中心、联想(北京)有限公司、上海格尔软件股份有限公司。本文件主要起草人:张严、张振峰、张立武、黄亮、李敏、李汝鑫、郑强、李俊、蔡冉。本文件及其所代替文件的历次版本发布情况为:一-2008年首次发布为GS/T17903.2-2008; 本次为第一次修订。GB/T 17903.2-2021 号|GH/T 17903旨在对抗抵赖服务的通用模型以及特定的抗抵赖机制进行规范,抗抵赖服务通过生成、收集、维护、利用和验证有关已声称事件或动作的证据,以解决有关该事件或动作已发生或未发生的争议,由三个部分构成。H
7、 一一第1部分:概述。目的在于规定抗抵赖服务的通用模型。一一第2部分:采用对称技术的机制。目的在于规定若干特定的、采用对称技术的抗抵赖机制。一一第3部分:采用非对称技术的机制。目的在于规定若干特定的、采用非对称技术的抗抵赖机制。信息技术安全技术抗抵赖第2部分:采用对称技术的机制GB/T 17903.2-2021 1 范围本文件确立了抗抵赖服务的通用结构,以及若干特定的抗抵赖机制,用于提供原发抗抵赖(NRO)与交付抗抵赖(NRD)。本文件适用于采用对称技术实现的消息抗抵赖相关应用的设计、实现与测试。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引
8、用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GH/T 15852(所有部分)信息技术安全技术消息鉴别码口SO/IEC9797(所有部分)JGH/T 17903.1信息技术安全技术抗抵赖第1部分:概述(GH/T17903.1-2008, ISO/IEC 13888-1 : 2001, IDT) GH/T 20520 信息安全技术公钥基础设施时间戳规范GH/T 25069信息安全技术术语3 术语和定义GH/T 17903.1和GH/T25069界定的以及下列术语和定义适用于本文件。3.1 密码校验函数cryptographic check
9、 function 以秘密密钥和任意字符串作为输人,并以密码校验值作为输出的密码变换。不知道秘密密钥就不可能正确计算校验值。3.2 3.3 3.4 数据完整性data integrity 数据没有遭受以未授权方式所作的更改或破坏的特性。证据生成者evidence generator 产生抗抵赖证据的实体。杂凑函数hash-function 将任意长比特串映射为定长比特串的函数,满足如下属性:一一给定一个输出比特串,寻找一个输人比特串来产生这个输出比特串,在计算上是不可行的;一一给定一个输人比特串,寻找另一个不同的输人比特串来产生相同的输出比特串,在计算上是不可行的。注1:计算上的可行性取决于特
10、定安全要求和环境oGB/T 17903.2-2021 3.5 3.6 注2:在本文件中,杂凑函数的输出的比特串称为杂凑码。消息鉴别码messageauthentication code; MAC 消息鉴别码算法的输出的比特串。消息鉴别码算法MACalgorithm 一种带密钥的密码算法,用于将比特串和秘密密钥映射为定长比特串的函数,并满足以下两种性质:3.7 3.8 一一对任意密钥和任意输人串,该函数都能有效进行计算;一一对任一固定的密钥,该密钥在未知情况下,即便已知输人串集合中的第i个输人串和对应的函数值,且串集合中的第i个输入串值在观测前面的第i-1个函数值之后可能已经选定,要算出该函数对
11、任意新输人串的值在计算上是不可行的。时间戳time-stamp 对时间和其他待签名数据进行签名得到的数据,用于表明数据的时间属性。时间戳机构time-stamp authority 用来产生和管理时间戳的可信服务机构。4 缩略语下列缩略语适用于本文件。DA:交付机构(DeliveryAuthority) GNRT:通用抗抵赖令牌(GenericNon-Repudiation Token) NRT:抗抵赖令牌(Non-RepudiationToken) NRD:交付抗抵赖(Non-Repudiationof Delivery) NRDT:交付抗抵赖令牌(Non-Repudiationof Del
12、ivery Token) NRO:原发抗抵赖(Non-Repudiationof Origin) NROT:原发抗抵赖令牌(Non-Repudiationof Origin Token) Pol:抗抵赖策略(Non-Repudiationpolicy) PON:肯定或否定,验证过程的结果(PositiveOr Negative) SENV:安全信封(SecureENVelope) TSA:可信时间戳机构(trustedTime Stamp Authority) TST:时间戳令牌(Time-StampingToken) TTP:可信第三方(TrustedThird Party) 5 符号2 G
13、H/T 17903.1界定的以及下列符号适用于本文件。a:仅为实体A和可信第三方(TTP)所知的密钥b:仅为实体日和可信第三方(TTP)所知的密钥da:交付机构(DA)的密钥Imp(m):消息m的印记,即1)m的杂凑码,或2)m本身GB/T 17903.2-2021 MACx (y):使用实体X的秘密密钥对数据y计算得到的消息鉴别码Pol:应用于证据的抗抵赖策略的可区分标识符SENV(.) :用来计算安全信封的函数TSA:TSA的可区分标识符ttp:仅为TTP所知的密钥,用于生成抗抵赖令牌TTP:TTP的可区分标识符(y,Z):y和z按顺序的连接Zj由提供NRO令牌的有关数据字段组成的数据宇段
14、Z2 :由提供NRD令牌的有关数据宇段组成的数据宇段6 通用要求本文件中,凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术保护保密性、完整性、真实性、不可否认性的,应遵循密码国家标准和行业标准。本文件中规定的抗抵赖机制均应满足以下通用要求:使用抗抵赖机制的各相关实体能够独立与DA、TSA或TTP进行通信;一一如果两个实体使用本文件中规定的某个抗抵赖机制,双方信任同一个第三方;一一在使用本文件规定的抗抵赖机制前,每个实体均与DA、TSA或TTP建立一个共享的对称密钥,每个DA、TSA或TTP实体均持有一个仅为自己所知的密钥;注1:密钥管理、密钥生成及密钥建立机制见G/T17901
15、. 1ll等相关的国家标准或密码行业标准及ISO/IEC11770:.门。一一抗抵赖服务中的所有实体共享一个公共函数Imp;一一为创建安全信封而选取的MAC函数为抗抵赖服务的所有参与者所持有;一一生成抗抵赖令牌的TTP能够访问时间和日期。本文件规定的抗抵赖机制的强度依赖于所使用的密码学机制和参数的安全级别和强度。注2:本文件不规定抗抵赖机制中数据项的具体传输机制,抗抵赖机制的使用者可根据业务的安全需求来选择适当的机制,以确保使用抗抵赖机制的各实体间可以对数据项进行一致的解析。7 安全信封安全信封是一种数据完整性校验方法,用于在共享一个秘密密钥的两个实体(该密钥仅为这两个实体所知)I回来相互传递
16、消息。SENV可以用于保护输人数据项,此时SENV使用实体的秘密密钥来产生;此外,SENV也可以用于生成和验证证据,此时SENV由TTP使用仅为TTP持有的秘密密钥来产生。对于要保护的数据y,实体X使用如下的基于对称密码技术的完整性技术来创建安全信封。其中,实体X的秘密密钥x用于计算密码校验值MACx(y),并将该值附加在数据的后面,即:SENVx (y) = y, MACx (y) 在计算MACx(y)时,应使用满足GH/T15852(所有部分)要求的消息鉴别码算法。注z本文件规定的安全信封的强度依赖于所使用的密码学机制和参数的安全级别和强度,抗抵赖机制的使用者可根据实际业务的安全需求来选择
17、适当的机制.GH/T 15852 (所有部分)中给出了各种消息鉴别码机制安全性的说明。8 抗抵赖令牌的生成与验证8.1 TTP创建令牌在本章描述的抗抵赖机制中,TTP担当证据生成和证据验证机构的角色。TTP可信赖地维护特3 GB/T 17903.2-2021 定记录的完整性并直接参与解决争议。对于要应用抗抵赖机制的消息m,TTP颁发与m相对应的令牌。令牌包括一个由TTP使用其秘密密钥ttp作用于该消息所确定的数据而形成的安全信封。因为其他实体都不知道TTP的秘密密钥ttp,所以TTP是唯一可以创建和验证令牌的实体。根据GS/T17903.1中对通用抗抵赖令牌的定义和本文件描述的场景,本节中GN
18、RT的定义如下:GNRT=text, SENVrrp(Y汀=text,y,MACn以Y)y表示安全信封中数据项,其具体内容见8.2,其中包含与m相关的信息。此外,在发布令牌之前,TTP应检查证据请求中的数据项。注1:消息m可以是明文或密文。注2:tcxt为文本域,包括一些不需要密码学保护但在计算完整性校验值M八C和安全信封SENV时要用到的,或用于标识消息和密钥的附加数据(如消息标识符或密钥标识符),tcxt的内容可以与消息m无关。本信息的具体内容依赖于所使用的技术。8.2 抗抵赖机制使用的数据项8.2.1 安全信封使用的数据项在本文件描述的抗抵赖机制中,将对安全信封SENVx(z) = Zi
19、 MACx (Zi)进行交换,下列数据字段构成了该安全信封的内容:Zi = Pol, fi , A ,日,C,O,E,TG, Ti ,Q, lmp(m) 数据域z中包含的数据项定义如下:Pol 一一适用于证据的抗抵赖策略的可区分标识符;fi 一一提供的抗抵赖服务的类型;A 一一原发实体的可区分标识符;日一一与原发实体进行交互的实体的可区分标识符;C 一一证据生成者的可区分标识符;D 一一证据请求者的可区分标识符,如果证据请求者与原发实体不同;E 一一动作涉及的其他实体的可区分标识符(的集合); TG 一一证据生成的日期与时间;Ti 一一事件或动作发生的日期与时间;Q 一一需要保护的可选数据;l
20、mp(m)一一与动作有关的消息m的印记,即1)m的杂凑码,或2)m本身。注z在本文件中,根据抗抵赖服务类型的不同,1的值为1(原发抗抵赖)或2(交付抗抵赖)。8.2.2 抗抵赖令牌使用的数据项在本文件描述的抗抵赖机制中,抗抵赖令牌NRT包括一个文本域text与一个安全信封,定义如下:NRT= text, SENVrrp (y) 注z文本域包括一些不需要密码学保护但在计算完整性校验值M八C和安全信封SENV时要用到的,或用于标识消息和密钥的附加数据如消息标识符或密钥标识符)。本信息的具体内容依赖于所使用的技术。8.3 抗抵赖令牌8.3.1 证据提供证据通常由抗抵赖令牌提供,如果策略要求,也可以由
21、附加令牌提供,例如:时间戳令牌(TST)、或由另一个可信的第四方(如公证人)提供的对事件和动作以及消息的存在性给予附加保证的令牌等。GB/T 17903.2-2021 如果可信第三方可以独自生成可信时间戳,则不需要增加TST作为证据。注1:抗抵赖令牌(NROT、NRDT)中包含的时间可认为是安全可靠的,因为它是由可信机构提供的。注2:如果可信第三方(TTP、D八)不能提供可信时间戳,那么抗抵赖集合中就需要增加由可信时间戳机构(TS八)提供的TST以完成证据。8.3.2 原发抗抵赖令牌原发抗抵赖令牌(NROT)由TTP应原发者的请求而创建,其格式如下:NROT=text,zj .MACrTI(z
22、j门,其中Zj =Pol.fj .A. H.C. D. TG. Tj .Q.Itnp(tn) NROT所需信息Zj中包含的数据项定义如下:Pol 一一适用于证据的抗抵赖策略的可区分标识符;fj 一一原发抗抵赖服务的标记;A 一一原发者的可区分标识符;日一一预定接收者的可区分标识符;C 一一生成证据的TTP的可区分标识符;D 一一观察者的可区分标识符,如果存在独立观察者;TG 一一证据生成的日期与时间;Tj 一一消息原发的日期与时间;Q 一一需要保护的可选数据;Itnp(tn)一一与动作有关的消息m的印记,即l)m的杂凑码,或2)m本身。8.3.3 交付抗抵赖令牌交付抗抵赖令牌(NRDT)由TT
23、P应接收者的请求而创建,其格式如下zNRDT=text.zz .MACrTI(zz汀,其中Zz =Pol.fz .A.日.C.D. TG. Tz .Q,Imp(m) NRDT所需信息Zz中包含的数据项定义如下:Pol 一一适用于证据的抗抵赖策略的可区分标识符;fz 一一交付抗抵赖服务的标记;A 一一原发者的可区分标识符;H 一一接收者的可区分标识符;C 一一TTP的可区分标识符;D 一一观察者的可区分标识符,如果存在独立观察者;TG 证据生成的日期与时间;Tz 消息交付的日期与时间;Q 需要保护的可选数据;Imp(m)一一与动作有关的消息m的印记,即1)m的杂凑码,或2)m本身。8.3.4 时
24、间戳令牌时间戳令牌TST可由可信时间戳机构使用GH/T20520中的方法生成。8.4 TTP进行的令牌验证8.4.1 验证过程在抗抵赖交换过程的某个环节上,可能需要TTP对实体的令牌(如上定义所示)进行验证。在交换5 GB/T 17903.2-2021 完成以后的某个时刻,也可能需要再次验证令牌,或者向第四方提供证据以证明其真实性。验证过程不仅要检验令牌是否由TTP创建,而且要检验令牌是否与消息的数据宇段确切相关。为了验证令牌是否为给定的消息而创建,实体把由消息计算而得的Imp(m)与数据宇段z中包括的Imp(m)进行比较,然后要求TTP对令牌及其数据字段进行验证。为了验证由对称完整性技术生成
25、的安全信封,应进行如下操作:使用实体X的相应秘密密钥x对安全信封中包含的数据y重新计算密码校验值MACx(y),然后把结果与所提供的密码校验值进行比较。TTP应使用8.1.2与8.1.3中定义的两种验证方法之一进行验证。8.4.2 在线令牌验证当使用在线令牌验证方法时,TTP使用包含秘密密钥ttp的安全模块来验证令牌。安全模块将该令牌与使用数据项Zi和秘密密钥ttp在其内部生成的值进行比较,并返回比较结果,该结果决定了令牌是否有效。由于密钥ttp不为TTP之外的任何人所知,如果安全模块返回的结果表明该令牌是有效的,那么所验证的令牌也可以认为是真实可信的。8.4.3 令牌表当使用令牌表方法时,T
26、TP将发布的所有令牌储存在一张表中。对每个已创建的令牌,TTP记录下令牌和相关的数据宇段(Zi)以及秘密密钥ttp的密钥标识符。要验证一个令牌,TTP把该令牌作为索引在表中进行查找。如果在表中能够找到要验证的令牌,而且该令牌所带的数据字段(即令牌的一部分)与表中对应的数据宇段相符,则认为该令牌是真实可信的。9 特定抗抵赖机制9.1 抗抵赖机制本章规定的抗抵赖机制支持生成下列抗抵赖证据:原发抗抵赖、交付抗抵赖。另外,本章定义了时间戳的生成机制。当实体A想要向实体日发送消息,则实体A称为抗抵赖传输的原发者,实体日称为接收者,在本章中,称实体A为原发者A,实体日为接收者日。本章规定的抗抵赖机制的实例
27、见附录Ao注z当Imp(m)即消息m本身时,不必将m与令牌一起发送,并且验证Imp(m)的步骤也可省略。9.2 原发抗抵赖机制9.2.1 步骤与机制原发者A创建了一条消息并发送给特定的接收者H。接收者日使用TTP来验证与之相关的原发抗抵赖令牌,从而检验该消息来源于其声称的发送者。本机制如图1所示,包含三个步骤:第一步,原发者A构造数据并封装人SENV发送给TTP。TTP生成原发抗抵赖令牌(NROT)并返回给原发者A;第二步,原发者A将NROT与消息m发送给接收者日;第三步,接收者日把安全信封中封装的NROT发送给TTP进行验证。原发抗抵赖在第三步建立。6 GB/T 17903.2-2021 T
28、TP 3.验证.NROT,建立原发抗抵赖2.发送信息与NROT原发者A接收者B固1原发抗抵赖机制步骤9.2.2 令牌生成9.2.2.1 步骤1一一原发者A与TTP间步骤1中,原发者A与TTP间执行如下操作。a) 原发者A使用密钥a生成安全信封SENVA (Zj ) ,其中ZlF同8.3.2规定的Zj但数据项TG为空。原发者A把安全信封发送给TTP以请求NROT。b) TTP验证安全信封来自原发者A。如果验证通过,TTP插人数据项TG以完成Zj并使用密钥ttp计算:NROT=textZj,MACA (Zj)J 然后将SENVA(NROT)返回给原发者Aoc) 原发者A验证SENVA (NROT)
29、来自TTP,且其中的Zj内容与zJ相一致。9.2.2.2 步骤2一一原发者A到接收者B步骤2中,原发者A向接收者日发送:(m,NROT)。9.2.2.3 步骤3一一接收者B与TTP间步骤3中,接收者日与TTP间执行如下操作。a) 接收者日执行以下验证操作z校验Zj中的策略Pol满足其安全要求;校验Zj中的fj标示了原发抗抵赖令牌;校验标识符A,H,C有效;校验标识符D为实际存在的独立观察者;校验时间TG与Tj的正确性;校验Zj中Imp(m)值的正确性。b) 接收者日使用密钥b生成SENVB(NROT)并发送给TTP,要求验证来自原发者A的NROToc) TTP验证SENV川NROT)来自接收者
30、日,并验证NROT是真实可信的。如果SENVB(NROT)是有效的,TTP向接收者日发送SENVPON,NROT),其中:如果NROT是真实可信的,PON为肯定,如果NROT不可信,则PON为否定。d) 接收者日检验SENVPON,NROT)来自TTP;若检验通过,并且验证结果PON为肯定,则建立了原发抗抵赖(即,消息来自原发者A)。e) 储存NROT以供将来原发抗抵赖使用。9.2.3 令牌验证若原发抗抵赖机制的证据使用者(接收者即在未来的某时刻需要再次验证NROT的真实可信性,则其可以单独执行9.2.2.3中规定的步骤3来完成验证。7 GB/T 17903.2-2021 9.3 交付抗抵赖机
31、制9.3.1 步骤与机制本机制如图2所示,包含三个步骤:第一步,接收者日在接收到消息m后,向TTP发送请求以要求生产交付抗抵赖令牌,该请求封装在安全信封中,TTP生成交付抗抵赖令牌(NRDT),并返回给接收者日;第二步,接收者B将NRDT发送给原发者A;第三步,原发者将NRDT封装在安全信封发送给TTP进行验证。交付抗抵赖在第三步建立。3.验证NRDT.建立交付抗抵赖原发者ATTP 2.发送NRDT图2交付抗抵赖机制步骤1.发送请求,获取.NRDT接收者B9.3.2 令牌生成9.3.2.1 步骤1一一接收者B与TTP间步骤1中,接收者B与TTP间执行如下操作。a) 接收者日使用密钥b生成安全信
32、封SENVg(Z2),其中Z2F同8.3.3规定的Z2,但数据项TG为空。接收者日把安全信封发送给TTP以请求NRDTob) TTP验证安全信封来自接收者B。如果验证通过,TTP插人数据项TG以完成Z2,并使用密钥ttp计算zNRDT= text, Z2 ,MACrTP (Z2) 然后将SENV以NRDT)返回给接收者日。c) 接收者H验证SENVNRDT)来自TTP,且其中的Z2内容与zJ相一致。9.3.2.2 步骤2一一接收者B到原发者A步骤2中,接收者日向原发者A发送:NRDT。9.3.2.3 步骤3一-原发者A与TTP间8 步骤3中,原发者A与TTP间执行如下操作。a) 原发者A执行以
33、下验证操作:校验Z2中的策略Pol满足其安全要求;校验Z2中的f2标示了交付抗抵赖令牌;校验标识符A,H,C有效;校验标识符D为实际存在的独立观察者;校验时间TG与T2的正确性;校验与中Imp(m)值的正确性。b) 原发者A使用密钥a生成SENVA (NRDT)并发送给TTP,要求验证来自接收者日的NRDToc) TTP验证SENVA(NRDT)来自原发者A,并验证NRDT是真实可信的。如果SENVA(NRDT)是有效的,TTP向原发者A发送SENVA(PON, NRDT) ,其中:如果NRDT是真实可信的,PON为肯定,如果NROT不可信,则PON为否定。d) 原发者A检验SENVA (PO
34、N, NRDT)来自TTP;若检验通过,并且验证结果PON为肯定,则建立了交付抗抵赖。GB/T 17903.2-2021 e) 储存NRDT以供将来交付抗抵赖使用。9.3.3 令牌验证若交付抗抵赖机制的证据使用者(原发者A)在未来的某时刻需要再次验证NRDT的真实可信性,则其可以单独执行9.3.2.3中规定的步骤3来完成验证。9.4 获取时间戳令牌的机制当可信时间源被请求且令牌生成方的时钟无法被信任时,需要依赖于可信第三方的TSA来提供可信时间戳。实体X(请求者与TSA之间获取时间戳的通信可见GH/T205200 9 GB/T 17903.2-2021 附录A(资料性)抗抵赖机制实例A.1 原
35、发抗抵赖与交付抗抵赖机制实例本附录所示的抗抵赖机制可在两个实体A和日之间提供原发抗抵赖和交付抗抵赖。实体A欲向实体日发送消息,于是成为抗抵赖交换的原发者。作为消息的接收方,实体日就是接收者。在本附录中,称实体A为原发者A.实体日为接收者Ho在使用下列机制之前,假设实体A和实体日分别持有密钥a和b.TTP除了拥有自己的密钥ttp以外,还持有密钥a和bo下面给出了使用在线TTP的三种不同的抗抵赖机制(Ml、M2和M3)。注1:通过在SENV消息中包含时间戳或序列号,可以防止未授权延迟或消息重放。通过在NROT和NRDT中包含时间戳,可进一步验证消息传输时的时间戳。注2:当Imp(m)即消息m本身时
36、,不必将m与令牌一起发送,并且验证Imp(m)的步骤也可省略oA.2 机制M1:必选NRO.可选NRDA.2.1 机制M1的步骤机制Ml见图A.l.共包含5个步骤,在两个实体与TTP之间通过3个步骤建立原发抗抵赖,如果继续可选的NRD步骤(根据接收者的决定).那么可通过再执行2个步骤建立交付抗抵赖。注1:尽管是否继续进行交付抗抵赖的步骤取决于接收者,但要注意,一旦建立了交付抗抵赖,这一可选的交付抗抵赖就完全绑定了。注2:本机制可以提供原发抗抵赖并可选地提供交付抗抵赖。该协议的用法仅提供原发抗抵赖或同时提供原发抗抵赖和交付抗抵赖)由发送者八、接收者B和丁TP在具体协议执行前商定。A.2.2 步骤
37、1一-原发者A与TTP间步骤1中,原发者A与TTP间执行如下操作。a) 原发者A使用密钥a生成安全信封SENVA (Zj ) .其中zJ同8.3.2规定的Zj,但数据项TG为空。原发者A把安全信封发送给TTP以请求NROT。b) TTP验证安全信封来自原发者A。如果验证通过.TTP插人数据项TG以完成Zj并使用密钥ttp计算:NROT=text,zj.MACrrp(zj)J 然后将SENVA(NROT)返回给原发者A。c) 原发者A验证SENVA (NROT)来自TTPonu l (1. a) SENVA (Zt) o. b) SENVA (NROT) (5. a) SENV A (NRDT)
38、 (5. b) SENVA (PON,NRDT) (4)NRDT A.2.3 步骤2一一原发者A到接收者B(3. a) SENV (NROT) ,SENV H (L.!) 图A.1机制M1步骤2中,原发者A向接收者日发送:(m,NROT)。A.2.4 步骤3一一接收者B与TTP间步骤3中,日与TTP间执行如下操作。TTP B GB/T 17903.2-2021 (3. b) SENVH (PON, NROT, NRDT) 或SENV(PON, NROT) a) 实体日验证Zj中Imp(m)值的正确性。然后使用密钥b生成安全信封SENVB(NROT)和SENVB (ZZ) ,其中zJ同8.3.3
39、规定的缸,但数据项TG为空。接收者日把上述安全信封发送给TTP以要求验证来自原发者A的NROT并请求生成NRDTob) TTP验证SENVB(NROT)与NROT。如果两者均有效,则TTP验证SENVB(zz)来自接收者日。如果验证通过,TTP插人数据项TG以完成Zz,并计算:NRDT=text,zz ,MAC厅p(zz ) 如果SENVB(NROT)与NROT均是真实可信的,则TTP使用密钥ttp计算并向接收者日发送SENV以PON,NROT, NRDT) ,其中PON为肯定。如果SENV以NROT)有效但NROT不可信,TTP使用密钥ttp计算并向接收者H发送SENVB(PON, NROT
40、),其中PON为否定。c) 接收者日检验SENV以PON,NRC汀,NRDT)来自TTP;若检验通过,并且验证结果PON为肯定,则建立了原发抗抵赖(ep,消息来自原发者A)0 d) 储存NROT以供将来原发抗抵赖使用。A.2.5 步骤4一一接收者B到原发者A步骤4中,接收者日向原发者A发送:NRDToA.2.6 步骤5一一原发者A与p间步骤5中,原发者A与TTP间执行如下操作。a) 原发者A校验Zz中Imp(m)值的正确性。然后使用密钥a生成SENVA(NRDT)并发送给TTP,要求验证来自接收者日的NRDT。b) TTP验证SENVA ( NRDT )来自原发者A,并验证NRDT是真实可信的
41、。如果SENVA11 (NRDT)是有效的,TTP向原发者A发送SENVACPON, NRDT) ,其中:如果NRDT是真实11GB/T 17903.2-2021 可信的,PON为肯定,如果NROT不可信,则PON为否定。c) 原发者A检验SENVA (PON, NRDT)来自TTP;若检验通过,并且验证结果PON为肯定,则建立了交付抗抵赖。d) 原发者A储存NRDT以供将来交付抗抵赖使用。A.3 机制M2:必选NRQ,必选NRDA.3.1 机制M2的步骤机制M2见图A.2,在两个实体与TTP之间通过4个步骤建立原发抗抵赖和交付抗抵赖。在本机制中,TTP在向接收者日发送消息收据的同时,直接通过
42、SENV把它发送给原发者Ao1.a) SENV A (Zl) 接收者日检验SENVB(PON, NR(汀,NRDT)来自TTP;若检验通过,并且验证结果PON为肯定,则建立了原发抗抵赖。d) 储存NROT以供将来原发抗抵赖使用。A.3.5 步骤4一一原发者A与P间步骤4中,原发者A与TTP间执行如下操作。a) 在步骤3中,如果SENVNROT)与NROT均是真实可信的,则TTP向接收者日发送NRDT之后,TTP立即向原发者A发送SENVA(NRDT)。b) 原发者A检验SENVA (NRDT)与NRDT;若检验通过,则建立了交付抗抵赖(即,消息被接收者日接收入c 原发者A储存NRDT以供将来交
43、付抗抵赖使用。A.4 机制M3:带有中介TTP的必选NRO和必选NRDA.4.1 机制M3的步骤机制M3见图A.3,在两个实体与TTP之间通过4个步骤建立原发抗抵赖和交付抗抵赖。在本机制中,TTP在原发者A和接收者日之间充当了中间人的角色,两个实体不再直接通信。为此,原发者A发送消息给TTP作为步骤1中的一部分,TTP将其传递给接收者日作为步骤2的一部分。在本机制中,TTP可选地生成并向原发实体发送提交抗抵赖与传输抗抵赖令牌。A.4.2 步骤1一一原发者A与TTP间步骤1中,原发者A与TTP间执行如下操作。a) 原发者A使用密钥a生成安全信封SENVA (Zj ) ,其中zJ同8.3.2规定的
44、Zj但数据项TG为空。原发者A把安全信封发送给TTP以请求NROTob) TTP验证安全信封来自原发者A。如果验证通过,TTP插人数据项TG以完成Zj并使用密钥ttp计算:NROT=textZj ,MACrTI(zj)J 然后将SENVA(NROT)返回给A。c 原发者A验证SENVA (NROT)来自TTP。13 GB/T 17903.2-2021 A 1.a) m, SENV A (Zl) 1.b) SENV A (NROT) (4. a) SENV A (NRDT) (2) (m, NROT) 圄A.3机制M3TTP (3. a) I (3. b) S四Vn(PON, NROT, NRD
45、T) SENVH I (NROT) ,1或SENVH (PON, NROT) SENVn (2 B A.4.3 步骤2一-TTP到接收者B步骤2中,TTP向接收者H发送:(m,NROT) 0 A.4.4 步骤3一一接收者B与TTP间步骤3中,接收者B与TTP间执行如下操作。a) 由于NROT不是以安全信封的方式收到的,因此接收者日需要与TTP一起来验证NRC汀,所以日在验证Zl中lmp(m)值的正确性之后,使用密钥b生成安全信封SENVB(NROT)和SENVB (Z2),其中zJ同8.3.3规定的Z2,但数据项TG为空。接收者日把上述安全信封发送给TTP以要求验证来自原发者A的NROT并请求
46、生成NRDT。b) TTP验证SENVB(NROT)与NROT。如果两者均有效,则TTP验证SENVB(Z2)来自接收者日。如果验证通过,TTP插人数据项TG以完成Z2,并计算:NRDT=text,z2 ,MACTTl(Z2)J 如果SENVB(NROT)与NROT均是真实可信的,则TTP使用密钥ttp计算并向接收者H发送SENVB(PON, NROT, NRDT) ,其中PON为肯定。如果SENV以NROT)有效但NROT不可信,TTP使用密钥ttp计算并向接收者日发送SENVB(PON , NROT) ,其中PON为否定。c) 接收者日检验SENV以PON,NRC汀,NRDT)来自TTP;
47、若检验通过,并且验证结果PON为肯定,则建立了原发抗抵赖。d) 储存NROT以供将来原发抗抵赖使用。A.4.5 步骤4一-原发者A与TTP间步骤4中,原发者A与TTP间执行如下操作。a) 在步骤3中向接收者日发送NRDT之后,TTP立即向原发者A发送SENVA(NRDT)。b) 原发者A检验SENVA (NRDT)与NRDT;若检验通过,则建立了交付抗抵赖。c) 原发者A储存NRDT以供将来交付抗抵赖使用。11 GB/T 17903.2-2021 参考文献lJ GB/T 17901.1-2020信息技术安全技术密钥管理第1部分:框架2J GB/T 18794.4-2003信息技术开放系统互连开
48、放系统安全框架第4部分:抗抵赖框架3J ISO/IEC 11770-2: 2008 Information technology-Security techniques-Key management-Part 2: Mechanisms using symmetric techniques 4J ISO/IEC 11770-3: 2008 Information technology-Security techniques-Key management-Part 3: Mechanisms using asymmetric techniques -NON-N.gRFH筒。华人民共和国家标准信息技术安全技术抗抵赖第2部分:采用对称技术的机制GH/T 17903.2-2021 国中* 中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029) 北京市西城区三里河北街16号(1000-15)网址:服务热线:-100-168-00102021年10月第一版侵权必究* 书号155066 1-68-163 版权专有GB/T 17903.2-2021
浙ICP备2021020529号-1 | 浙B2-20240490 
