GB∕T 15843.6-2018
基本信息
标准号: GB∕T 15843.6-2018
中文名称:信息技术 安全技术 实体鉴别 第6部分:采用人工数据传递的机制
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:4160KB
相关标签: 信息技术 安全 技术 实体 鉴别 采用 人工 数据 传递 机制
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 15843.6-2018 信息技术 安全技术 实体鉴别 第6部分:采用人工数据传递的机制
GB∕T15843.6-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T15843.6—2018/ISO/IEC9798-6:2010信息技术
安全技术
实体鉴别
第6部分:采用人工数据传递的机制InformationtechnologySecuritytechniquesEntityauthentication-Part6:Mechanismsusingmanualdatatransfer(ISO/IEC9798-6:2010.IDT)
2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
GB/T15843.6—2018/ISO/IEC9798-6:2010前言
规范性引用文件
术语和定义
符号和缩略语
通用要求
使用短检验值的机制
机制1:一个设备具有简单输入接口,另一个具有简单输出接口6.2
6.3机制2:两个设备都具有简单输人接口使用短摘要值或短密钥的机制
机制3:一个设备具有简单输入接口,另一个具有简单输出接口7.2
7.3机制4:一个设备具有简单输人接口,另一个具有简单输出接口7.4机制5:两个设备都具有简单输人接口7.5机制6:两个设备都具有简单输人接口8使用消息鉴别码(MAC)的机制
8.2机制7:两个设备都具有简单输出接口8.3机制8:一个设备具有简单输入接口,另一个具有简单输出接口附录A(规范性附录)
ASN.1定义..
附录B(资料性附录)
使用人工鉴别协议来执行密钥交换附录C(资料性附录)
使用人工鉴别协议来执行公钥交换…附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
参考文献
机制安全性和参数长度选择
种产生短检验值的方法
对机制1~8的安全性及效率的比较分析生成短摘要值的方法
GB/T15843.6—2018/IS0/IEC9798-6:2010前言
安全技术
GB/T15843《信息技术
实体鉴别》分为以下部分:
第1部分:总则;
第2部分:采用对称加密算法的机制;一第3部分:采用数字签名技术的机制:第4部分:采用密码校验函数的机制:第5部分:使用零知识技术的机制;第6部分:采用人工数据传递的机制。本部分为GB/T15843的第6部分。本部分按照GB/T1.1—2009给出的规则起草。本部分使用翻译法等同采用ISO/IEC9798-6:2010《信息技术安全技术实体鉴别
第6部分:
采用人工数据传递的机制》
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任,本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、飞天诚信科技股份有限公司。
本部分主要起草人:夏鲁宁、张国柱、张琼露、林雪焰、朱鹏飞。1
GB/T15843.6—2018/ISO/IEC9798-6:2010引言
在日常通信中,两个设备之间经常需要通过非安全通道执行实体鉴别,但非安全通道易受主动或被动的攻击,所谓主动攻击包括恶意第三方在非安全通道执行数据插人、篡改、删除或重放等动作。GB/T15843的其他部分指定的鉴别机制适用于两个设备共享同一个秘密密钥,或者彼此拥有对方的非对称公钥
GB/T15843的本部分所述的实体鉴别机制无需假定双方预先建立共享密钥关系.而是使用人工手段进行鉴别,即实体鉴别通过从一个设备到另一个设备人工传递短数据串来实现,或通过人工对比两个设备输出的短数据串是否一致来实现。在本部分中,“实体鉴别这个术语的含义与其他部分有所不同,鉴别涉及的两个设备都由同一个用户持有,或由两个彼此之间存在可信通信途径的不同用户持有,用户验证两个设备在执行了本部分的鉴别机制后是否成功共享了数据串。当然,数据串可以包含两个设备或其中一个设备的标识符。如资料性附录B和附录C所描述的那样,人工鉴别机制可作为建立秘密密钥共享或可靠交换公钥的基础。此外,人工鉴别机制还可被用作其他秘密或公开安全参数的交换,包括安全策略声明或时间截等。
本部分凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的按密码相关国家标准和行业标准实施、1范围
GB/T15843.6—2018/ISO/IEC9798-6:2010信息技术安全技术实体鉴别
第6部分:采用人工数据传递的机制GB/T15843的本部分规定了在设备之间基于人工数据传递进行实体鉴别的8种机制。本部分指明了这些机制如何被用来支持密钥管理功能,以及如何安全地选择各机制的参数。对于这8种机制,本部分给出了其ASN.1定义,并对它们的安全性水平和效率进行了分析比较。这些机制可以适用于多类应用场景。一种典型的应用是在个人网络中,作为设备接入网络的过程的一部分,用户对于自已掌握的两个具备无线通信能力的设备执行二者相互间的实体鉴别。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T15843.1一2017信息技术安全技术实体鉴别第1部分:总则(ISO/IEC9798-12010.IDT)
3术语和定义
GB/T15843.1—2017界定的以及下列术语和定义适用于本文件。3.1
直check-value
检验值
一个比特申,由某种检验函数计算产生,从通信的发起方传递给通信的接收方.且接收方有能力检验其正确性。
check-valuefunction
检验函数
函数了.将一个比特串和一个短密钥映射为一个定长为b位的检验值,短密钥可容易地被输人到用户设备或从中读取。检验函数满足以下属性:-对于任何密钥k和任何比特串d.函数了(d,k)可以被有效计算;寻找两个不同的比特串d和d,使得对于密钥k有f(d.k)=f(d,k),在计算上是不可行的.尽管能够满足上述等式的值在的取值空间中并不是一小部分。注:在实践中,一个典型的短密钥包含4~6个数字或字母。3.3
dataoriginauthentication
数据起源鉴别
对于接收到的数据,确认其来源的真实性。ISO7498-2
摘要值
digest-value
一个比特串,由某种摘要函数计算产生,从通信的发起方传递给通信的接收方,且接收方有能力检1
GB/T15843.6—2018/ISO/IEC9798-6:2010验其止确性。
摘要函数digestfunction
函数,将一个比特串和一个长密钥映射为一个定长为b位的摘要值。摘要值可以容易地被输人到用户设备中或从中读取,并满足以下属性:对于任何密钥k和任何比特串m,d(mk)可以被有效地计算:寻找两个不同的比特串m和m.使得对于密钥k有d(m,k)一d(m,k),在计算上是不可行的。满足这个等式的密钥占所有可能密钥取值的比例大于(2-十e),b是摘要值的固定长度,是一个相对于2可忽略不计的数。注1:实践中,如果密钥的长度是典型的密码杂凑值长度,例如160位,那么上述第二个属性应被满足,这个需求产生自杂漆函数密钥长度的理论下界,更多的细节讨论参见附录F注2:附录D、附录F和附录G给出了对密钥和摘要长度的进一步讨论3.6
杂凌函数hash-function
将任意长比特串映射为定长比特串的函数,满足如下属性:给定一个输出比特串,寻找一个输入比特串来产生这个输出比特串,在计算上是不可行的;一给定一个输入比特串,寻找另一个不同的输人比特串来产生相同的输出比特串,在计算上是不可行的。
[ISO/IEC10118-1]
人工鉴别证书
manual authentication certificate一个密钥和一个检验值的组合,由参与鉴别的两个设备之一产生,并具有下列属性:当被输人到另二个设备时,这个证书可被用于在稍晚时刻完成人工鉴别过程。3.8
message authentication code;MAC消息鉴别码
使用消息鉴别算法产生的输出比特串。[ISO/IEC9797-1]
messageauthentication code(MAC)algorithm消息鉴别算法
将一个比特串和一个密钥进行计算,得到定长比特串的算法,满足如下属件:对于任意密钥和任何输入比特串,都可以有效计算;一对于某个具体的密钥,在没有任何关于此密钥先验知识的情况下,计算出任何新输入比特串的消息鉴别码在计算上都是不可行的,即便已知之前所有的输入比特串和对应的消息鉴别码。这意味着即使在观察到前一1个比特串和对应的消息鉴别码后,蓄意选取第:个输人比特串使之与前面某个输入比特串相等,二者的消息鉴别码也不会相等或有任何相关性。[ISO/IEC9797-1]
人工实体鉴别manualentityauthentication在两个设备之间,通过(潜在的非安全)通信通道进行消息交换,同时也采用人工方式传递有限数据,以此实现实体鉴别的过程。3.11
简单输入接口simpleinputinterface允许用户向设备告知某步骤成功或非成功完成的设备接口,例如2个或1个按钮,在给定时间区间2
内用户选择按下或不按下,从而告知设备成功或失败3.12
简单输出接口simpleoutputinterfaceGB/T15843.6—2018/IS0/IEC9798-6:2010充许设备向用户告知某步骤成功或非成功完成的设备接口,例如可以被实现为红绿指示灯或单独一个指示灯,它通过不同的闪亮方式,向用户通知成功或失败。4符号和缩略语
下列符号和缩略语适用于本文件。A.B
参与鉴别机制的实体的标签
摘要函数,用于机制3和5.d(D,k)表示使用密钥k对比特串D计算的摘要值设备A和B之间共享的一个比特串,通过执行人工实体鉴别机制来产生杂漆函数,在机制3~6中使用
实体U的可区分标识符
在机制1和2中,被检验函数使用的(短)密钥机制3~6中使用的(长)密钥
K,K,K,K机制7和8中使用的随机MAC密钥MAC
消息鉴别码
在机制4、6、7和8中使用(短)随机比特申在GB/T15843.12017中,XⅡY被定义为数据项X和Y根据给定顺序级联的结果。当两个或多个数据项级联的结果在本部分所描述的某个机制中被作为输入,那么这个级联结果应能被唯一地解析成构成它的数据项,也就是说,它可被无歧义地解释。这个特性可以通过多种方式实现,实现方式与具体应用相关,例如可以用下列方法a)对每个被级联的数据项要求固定长度,并且在机制执行的全过程都保持它们的固定长度,或者b)对级联后的数据项序列使用一种可以确保唯一性的方法进行编码,例如使用ISO/IEC8825-1所定义的可辨识编码规则(DER)。注:附录D和附录F给出了如何选取适当的短密钥和MAC密钥长度的指南5通用要求
本章指定鉴别机制1~8应满足的通用要求。除这些通用要求外,各鉴别机制还应分别满足第6章、第7章和第8章规定的具体要求,a):执行人工传递鉴别的两个设备之间应存在信道(例如:无线链接或互联网链接):这个链接不必是安全的,也就是说,本部分的机制被设计为在攻击者有能力监控甚至算改被传递数据的情况下,也能够安全地执行;
执行人工传递鉴别的两个设备应同时具有用户数据输入接口和输出接口;b)
设备的用户数据输入接口至少应具备指示一个鉴别步骤成功或不成功完成的能力(例如,2个或1个按钮,在给定时间区间内用户选择按下或不按下,从而告知设备成功或失败),这种用户数据输人接口以下称为简单输人接口。相比之下,一个标准的输入接口应支持短符号串输入,例如支持数字、十六进制数或字母的键盘。除非另有明确说明,否则每个设备都应具有一个标准的数据输入接口;
设备的用户数据输出接口至少应具备指示一个鉴别步骤成功或失败的能力(例如可以用红色d)
和绿色灯的方式实现),这种用户数据输出接口以下称为简单输出接口。相比之下,一个标准的输出接口应支持短符号串的输出,如数字、十六进制或字母显示屏。除非另有明确说明,否GB/T15843.6—2018/ISO/IEC9798-6:2010则每个设备都应具有一个标准的数据输出接口对于机制1和机制2,两个执行实体鉴别的设备应就所使用的具体检验函数达成一致,且有能e)
力实现此函数;
注1:附录D给出了用于机制1和机制2的检验函数,检验值和随机密钥长度的选择指南,附录E给出了用于机1和机制2的无条件安全检验函数的构造方法。)对于机制3一6,两个执行实体鉴别的设备应就所使用的具体杂凑函数h达成一致,且有能力实现此函数;
注2:附录D给出了用于机制3~6的杂凑函数输入输出位长度的选择指南。对于机制3和机制5,两个执行实体鉴别的设备应就所使用的具体摘要函数d达成一致,且有g)
能力实现此函数:
注3:附录D给出了用于机制3和机制5的摘要长度的选取指南,附录G则给出了适用于机制3和机制5的使用消息鉴别算法和杂凑函数来构造摘要函数的方法对于机制7和机制8.两个执行实体鉴别的设备应就所使用的具体消息鉴别算法达成一致,且h)
有能力实现此算法;
注4:附录D给出了用于机制7和机制8的消息鉴别算法,消息鉴别码和随机密钥长度的选择指南i)在执行机制1~8之前,两个设备应交换一个数据串D(结合机制3~6中的杂凌值)。D可由一个设备产生并发送给另一个设备,或两个设备分别产生一个数据串并通过双向信道发送给对方,D是双方产生的数据串的级联;执行鉴别的两个设备可由同一个用户控制,也可由两个不同的用户控制,如果是后者则这两个用户之间应该存在可信的通信途径;k)设备的用户应全程参与鉴别过程以保证正确处理这些机制。执行期间,设备间的人工数据传递不应存在显著延时,设备应按照规范的定义自动触发超时,以排除特定的攻击。6使用短检验值的机制
6.1概述
本条指定了两种使用检验值的人工鉴别机制,适用于多种不同类型的设备。具体地:第一种机制(机制1)适用于一个设备具有简单输人接口,另一个设备具有简单输出接口的情况;
第二种机制(机制2适用于两个设备都具有简单输人接口的情况。标准输入或输出接口可被用来模拟简单输人或输出接口,因此,如果两个设备都具有标准输入和输出接口,那么两种机制都是适用的。这两种机制都以以下的方式执行:一个数据串D通过两个设备共的信道被从一个设备传递到另一个设备(或是两个设备各自产生的数据串的级联),人工实体鉴别机制随之启动。作为鉴别机制的结果,两个设备都确认自己所掌握的数据串D与对方所掌握的相同。6.2机制1:一个设备具有简单输入接口,另一个具有简单输出接口6.2.1具体要求
本机制应满足如下具体要求:
a)本机制适用于一个设备(设备A)具有简单输入接口,另一个设备(设备B)具有简单输出接口的情况;
设备A应具备产生密钥的能力。
6.2.2数据交互过程
数据交换和操作的过程如下(见图1):GB/T15843.6—2018/ISO/IEC9798-6:2010两个设备都应输出一个信号,确认接收到了数据串D,且已准备好启动鉴别机制。当观察到两a
个设备都已准备好,用户应输入一个信号给设备A,通知它机制可以开始:设备A应产生一个随机密钥K,适用于双方使用的检验函数。使用此密钥K,设备A应计算b)
数据串D的检验值,检验值和密钥K应随后被设备A的输出接口输出,用户应通过其输出接口读取检验值和密钥K;
用户应使用设备B的输人接口,将设备A输出的检验值和密钥K输入到设备B。设备B应使用密钥K针对它所存储的数据串D重新计算检验值.如果两个检验值一致,则设备B应通过简单输出接口输出一个成功信号给用户,否则输出失败信号;用户应将设备B输出的成功或失败的结果,通过设备A的简单输入接口输入设备A。d)
入接口
输出:数据串D就绪
用户确认:双方就绪
用户输入:启动
产生随机密钥K,计算检bZxz.net
验值,并输出K和检验值
用户读取K和检验值
用户输入结果
简单输
出接口
输出:数据中D就绪
用户输入K和检验值
计算检验值,并与用
户输入的检验值比较
输出:接受或拒绝
用户读取结果
图1人工鉴别机制1
6.2.3人工鉴别证书
在人工鉴别机制1中,没有任何鉴别信息是通过非安全通道传递的。因此,如果在设备B获得数据串D之前,随机密钥K和检验值就从设备A传递到了设备B,也就不会影响机制1的安全性。随机密钥K和(使用K、D计算的)检验值的组合,被称作人工鉴别证书。利用人工鉴别证书.机制1提供了种延时鉴别的手段。显然,这种手段只适用于数据串D由设备A产生并发送给设备B的情况。使用人工鉴别证书的鉴别协议如下所述(应满足6.2.1提出的要求),需注意此协议能够支持数据起源鉴别,但不提供实体身份鉴别能力假设设备A产生数据串D.但需稍晚发送给设备B:5
GB/T15843.6—2018/ISO/IEC9798-6:2010a)
设备A生成适用于既定检验函数的随机密钥K并使用密钥K计算数据串D的检验值,密钥K和检验值随后通过设备A的输出接口被输出给用户,并由用户读取:用户应使用设备B的输入接口将设备A输出的密钥K和检验值输入到设备B.并由设备Bb)
本地保存;
一段时间后,当设备B接收到来自设备A的数据串D,就使用密钥K重新计算数据串D的检c)
验值,如果与先前本地存储的检验值一致,则设备B接受数据串D,并通过其简单输出接口输出成功信号给用户,否则输出失败信号。注:数据串D可以包含多类数据,例如设备的公钥、身份标识、服务域等。附录B提供了一个例子,表明人工鉴别证书可以用来在两个设备之间建立一个共享密钥。机制2:两个设备都具有简单输入接口6.3
6.3.1具体要求
本机制应满足如下具体要求:
a)本条指定的机制适用于两个设备(A和B)都具有简单输人接口的情况;b)其中一个设备(设备A)应具有产生密钥的能力。6.3.2数据交互过程
数据交换和操作的过程如下(见图2):两个设备都应输出一个信号,确认接收到了数据串D,且已准备好启动鉴别机制。当观察到两a
个设备都已准备好,用户应输入一个信号给设备A,通知它机制可以开始;设备A产生一个随机密钥K,适用于双方使用的检验函数。使用此密钥K,设备A应计算数b)
据串D的检验值,检验值和密钥K通过设备A的输出接口输出,设备A还应通过与设备B共享的信道将密钥K传递给设备B;设备B应使用接收到的密钥K计算本地存储的数据串D的检验值,并输出密钥K和检验值;c
用户应比较两个设备输出的检验值和密钥K。如果一致,则用户通过两个设备的简单输入接口向两个设备输入接受信号:如果检验值或密钥值不一致,则鉴别失败,用户应通过两个设备的简单输入接口向两个设备输人拒绝信号。如果两个设备长时间未收到用户的接受信号,则认为鉴别失败(这需要实施一种超时机制)。6
入接口
输出:数据串D就绪
GB/T15843.6—2018/ISO/IEC9798-6:2010B
简单输
入接口
输出:数据串D就绪
用户确认:双方就绪
用户输入:启动
产生随机密钥K,并将
K传递给对端
计算检验值,并输出K
和检验值
一按收K
计算检验值,并输出K
和检验值
用户比较来自两个设备输出的随机密钥K和检验值,并将接受或拒绝信号通过两个设备的简单输入接口输入二者人工鉴别机制2
7使用短摘要值或短密钥的机制
本条指定了四种人工鉴别机制,涉及短摘要值或短密钥的人工传递。这四种机制适用于不同类型的设备,具体地:
前两种机制(机制3和机制4)适用于二一个设备具有简单输人接口,另一个设备具有简单输出接口;
后两种机制(机制5和机制6)适用于两个设备都具有简单输入接口。标准输入或输出接口可被用来模拟简单输人或输出接口。因此,如果两个设备都具有标准输入和输出接口,那么四种机制都是适用的。所有的机制都以以下的方式执行:一个数据串D和一个杂值通过双方之间的信道被从一个设备传递到另一个(D也可以是两个设备各自产生的数据串的级联),人工实体鉴别机制随之启动。作为鉴别机制的结果,两个设备都确认自已所掌握的数据串D与对方所掌握的相同。机制3:一个设备具有简单输入接口,另一个具有简单输出接口7.2
具体要求
本机制应满足如下具体要求:
本机制适用于一个设备(设备A)具有简单输入接口,另一个设备(设备B)具有简单输出接口的情况;
设备A应具备产生(长)随机密钥的能力7
GB/T15843.6—2018/ISO/IEC9798-6:20107.2.2数据交互过程
数据交换和操作的过程如下(见图3):a)设备A和设备B应暂时共享数据串D,例如可通过在双方之间的信道上执行未受保护的消息交换来实现:
设备应产生并要全保存随机密钥,应适用于双方使用的摘要函数。设备A应计算h(k)并将其传递给设备B,传递方式不必是安全的,例如可通过双方之间的信道传递;c
两个设备都应通过他们的标准输出接口输出信号来确认它们已经完成步骤a)和b),面且它们已经准备好启动鉴别机制。观察到双方输出的确认信号后,用户应通过设备A的简单输入接口输入一个信号,告知设备A鉴别机制可以开始;设备A应计算短摘要值d(D,k),并将其通过自身的标准输出接口输出。用户应从设备A的d)
标准输出接口读取短摘要值,并使用设备B的标准输入接口将其输入设备B:e)
设备A应通过双方之间的信道将密钥k传递给设备B。接收到k后,设备B应计算h(k)并检验是否与步骤b)中接收到的值相等。如果相等,则设备B执行步骤f)否则设备B应给出失败信号,且应执行一种策略以确保短时间内拒绝开始新的机制3实例;f)
设备B应使用密钥及其存储的数据串D重新计算短摘要值d(D,k)。如果计算出的摘要值与设备B在步骤d中接收的副本相等,则设备B通过它的简单输出接口向用户输出成功信号,否则应输出失败信号,并执行一种策略以确保短时间内拒绝开始新的机制3实例;g)
用户应将设备B输出的成功或失败的结果,通过设备A的简单输入接口输人设备A。如果设备A没有收到任何信号,则应视为失败(这需要实施一种超时机制)。注1:步骤e)和D中用到的延时策略可以防止这样一类中间人攻击:攻击者尝试在设备B给出失败信号后假冒设备A的身份立即再次启动机制3.此时由于设备A仍在等待g)步骤中用户要输人的信号,所以有可能被成功攻击注2:在本机制中,设备B信任设备A.因为是设备A产生的随机密钥并因此首先决定了d(D.k)的正确值。如果设备B也具备产生随机密钥的能力,则设备A和设备B就不必一定相互信任,但如果这样,可能会使本机制变得更为复杂,因为需要更多的网络通信和同步开销:机制4~6也存在这种情况。需注意步骤a)和b)可能并行发生,步骤d)和e)也是。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T15843.6—2018/ISO/IEC9798-6:2010信息技术
安全技术
实体鉴别
第6部分:采用人工数据传递的机制InformationtechnologySecuritytechniquesEntityauthentication-Part6:Mechanismsusingmanualdatatransfer(ISO/IEC9798-6:2010.IDT)
2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
GB/T15843.6—2018/ISO/IEC9798-6:2010前言
规范性引用文件
术语和定义
符号和缩略语
通用要求
使用短检验值的机制
机制1:一个设备具有简单输入接口,另一个具有简单输出接口6.2
6.3机制2:两个设备都具有简单输人接口使用短摘要值或短密钥的机制
机制3:一个设备具有简单输入接口,另一个具有简单输出接口7.2
7.3机制4:一个设备具有简单输人接口,另一个具有简单输出接口7.4机制5:两个设备都具有简单输人接口7.5机制6:两个设备都具有简单输人接口8使用消息鉴别码(MAC)的机制
8.2机制7:两个设备都具有简单输出接口8.3机制8:一个设备具有简单输入接口,另一个具有简单输出接口附录A(规范性附录)
ASN.1定义..
附录B(资料性附录)
使用人工鉴别协议来执行密钥交换附录C(资料性附录)
使用人工鉴别协议来执行公钥交换…附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
参考文献
机制安全性和参数长度选择
种产生短检验值的方法
对机制1~8的安全性及效率的比较分析生成短摘要值的方法
GB/T15843.6—2018/IS0/IEC9798-6:2010前言
安全技术
GB/T15843《信息技术
实体鉴别》分为以下部分:
第1部分:总则;
第2部分:采用对称加密算法的机制;一第3部分:采用数字签名技术的机制:第4部分:采用密码校验函数的机制:第5部分:使用零知识技术的机制;第6部分:采用人工数据传递的机制。本部分为GB/T15843的第6部分。本部分按照GB/T1.1—2009给出的规则起草。本部分使用翻译法等同采用ISO/IEC9798-6:2010《信息技术安全技术实体鉴别
第6部分:
采用人工数据传递的机制》
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任,本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、飞天诚信科技股份有限公司。
本部分主要起草人:夏鲁宁、张国柱、张琼露、林雪焰、朱鹏飞。1
GB/T15843.6—2018/ISO/IEC9798-6:2010引言
在日常通信中,两个设备之间经常需要通过非安全通道执行实体鉴别,但非安全通道易受主动或被动的攻击,所谓主动攻击包括恶意第三方在非安全通道执行数据插人、篡改、删除或重放等动作。GB/T15843的其他部分指定的鉴别机制适用于两个设备共享同一个秘密密钥,或者彼此拥有对方的非对称公钥
GB/T15843的本部分所述的实体鉴别机制无需假定双方预先建立共享密钥关系.而是使用人工手段进行鉴别,即实体鉴别通过从一个设备到另一个设备人工传递短数据串来实现,或通过人工对比两个设备输出的短数据串是否一致来实现。在本部分中,“实体鉴别这个术语的含义与其他部分有所不同,鉴别涉及的两个设备都由同一个用户持有,或由两个彼此之间存在可信通信途径的不同用户持有,用户验证两个设备在执行了本部分的鉴别机制后是否成功共享了数据串。当然,数据串可以包含两个设备或其中一个设备的标识符。如资料性附录B和附录C所描述的那样,人工鉴别机制可作为建立秘密密钥共享或可靠交换公钥的基础。此外,人工鉴别机制还可被用作其他秘密或公开安全参数的交换,包括安全策略声明或时间截等。
本部分凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的按密码相关国家标准和行业标准实施、1范围
GB/T15843.6—2018/ISO/IEC9798-6:2010信息技术安全技术实体鉴别
第6部分:采用人工数据传递的机制GB/T15843的本部分规定了在设备之间基于人工数据传递进行实体鉴别的8种机制。本部分指明了这些机制如何被用来支持密钥管理功能,以及如何安全地选择各机制的参数。对于这8种机制,本部分给出了其ASN.1定义,并对它们的安全性水平和效率进行了分析比较。这些机制可以适用于多类应用场景。一种典型的应用是在个人网络中,作为设备接入网络的过程的一部分,用户对于自已掌握的两个具备无线通信能力的设备执行二者相互间的实体鉴别。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T15843.1一2017信息技术安全技术实体鉴别第1部分:总则(ISO/IEC9798-12010.IDT)
3术语和定义
GB/T15843.1—2017界定的以及下列术语和定义适用于本文件。3.1
直check-value
检验值
一个比特申,由某种检验函数计算产生,从通信的发起方传递给通信的接收方.且接收方有能力检验其正确性。
check-valuefunction
检验函数
函数了.将一个比特串和一个短密钥映射为一个定长为b位的检验值,短密钥可容易地被输人到用户设备或从中读取。检验函数满足以下属性:-对于任何密钥k和任何比特串d.函数了(d,k)可以被有效计算;寻找两个不同的比特串d和d,使得对于密钥k有f(d.k)=f(d,k),在计算上是不可行的.尽管能够满足上述等式的值在的取值空间中并不是一小部分。注:在实践中,一个典型的短密钥包含4~6个数字或字母。3.3
dataoriginauthentication
数据起源鉴别
对于接收到的数据,确认其来源的真实性。ISO7498-2
摘要值
digest-value
一个比特串,由某种摘要函数计算产生,从通信的发起方传递给通信的接收方,且接收方有能力检1
GB/T15843.6—2018/ISO/IEC9798-6:2010验其止确性。
摘要函数digestfunction
函数,将一个比特串和一个长密钥映射为一个定长为b位的摘要值。摘要值可以容易地被输人到用户设备中或从中读取,并满足以下属性:对于任何密钥k和任何比特串m,d(mk)可以被有效地计算:寻找两个不同的比特串m和m.使得对于密钥k有d(m,k)一d(m,k),在计算上是不可行的。满足这个等式的密钥占所有可能密钥取值的比例大于(2-十e),b是摘要值的固定长度,是一个相对于2可忽略不计的数。注1:实践中,如果密钥的长度是典型的密码杂凑值长度,例如160位,那么上述第二个属性应被满足,这个需求产生自杂漆函数密钥长度的理论下界,更多的细节讨论参见附录F注2:附录D、附录F和附录G给出了对密钥和摘要长度的进一步讨论3.6
杂凌函数hash-function
将任意长比特串映射为定长比特串的函数,满足如下属性:给定一个输出比特串,寻找一个输入比特串来产生这个输出比特串,在计算上是不可行的;一给定一个输入比特串,寻找另一个不同的输人比特串来产生相同的输出比特串,在计算上是不可行的。
[ISO/IEC10118-1]
人工鉴别证书
manual authentication certificate一个密钥和一个检验值的组合,由参与鉴别的两个设备之一产生,并具有下列属性:当被输人到另二个设备时,这个证书可被用于在稍晚时刻完成人工鉴别过程。3.8
message authentication code;MAC消息鉴别码
使用消息鉴别算法产生的输出比特串。[ISO/IEC9797-1]
messageauthentication code(MAC)algorithm消息鉴别算法
将一个比特串和一个密钥进行计算,得到定长比特串的算法,满足如下属件:对于任意密钥和任何输入比特串,都可以有效计算;一对于某个具体的密钥,在没有任何关于此密钥先验知识的情况下,计算出任何新输入比特串的消息鉴别码在计算上都是不可行的,即便已知之前所有的输入比特串和对应的消息鉴别码。这意味着即使在观察到前一1个比特串和对应的消息鉴别码后,蓄意选取第:个输人比特串使之与前面某个输入比特串相等,二者的消息鉴别码也不会相等或有任何相关性。[ISO/IEC9797-1]
人工实体鉴别manualentityauthentication在两个设备之间,通过(潜在的非安全)通信通道进行消息交换,同时也采用人工方式传递有限数据,以此实现实体鉴别的过程。3.11
简单输入接口simpleinputinterface允许用户向设备告知某步骤成功或非成功完成的设备接口,例如2个或1个按钮,在给定时间区间2
内用户选择按下或不按下,从而告知设备成功或失败3.12
简单输出接口simpleoutputinterfaceGB/T15843.6—2018/IS0/IEC9798-6:2010充许设备向用户告知某步骤成功或非成功完成的设备接口,例如可以被实现为红绿指示灯或单独一个指示灯,它通过不同的闪亮方式,向用户通知成功或失败。4符号和缩略语
下列符号和缩略语适用于本文件。A.B
参与鉴别机制的实体的标签
摘要函数,用于机制3和5.d(D,k)表示使用密钥k对比特串D计算的摘要值设备A和B之间共享的一个比特串,通过执行人工实体鉴别机制来产生杂漆函数,在机制3~6中使用
实体U的可区分标识符
在机制1和2中,被检验函数使用的(短)密钥机制3~6中使用的(长)密钥
K,K,K,K机制7和8中使用的随机MAC密钥MAC
消息鉴别码
在机制4、6、7和8中使用(短)随机比特申在GB/T15843.12017中,XⅡY被定义为数据项X和Y根据给定顺序级联的结果。当两个或多个数据项级联的结果在本部分所描述的某个机制中被作为输入,那么这个级联结果应能被唯一地解析成构成它的数据项,也就是说,它可被无歧义地解释。这个特性可以通过多种方式实现,实现方式与具体应用相关,例如可以用下列方法a)对每个被级联的数据项要求固定长度,并且在机制执行的全过程都保持它们的固定长度,或者b)对级联后的数据项序列使用一种可以确保唯一性的方法进行编码,例如使用ISO/IEC8825-1所定义的可辨识编码规则(DER)。注:附录D和附录F给出了如何选取适当的短密钥和MAC密钥长度的指南5通用要求
本章指定鉴别机制1~8应满足的通用要求。除这些通用要求外,各鉴别机制还应分别满足第6章、第7章和第8章规定的具体要求,a):执行人工传递鉴别的两个设备之间应存在信道(例如:无线链接或互联网链接):这个链接不必是安全的,也就是说,本部分的机制被设计为在攻击者有能力监控甚至算改被传递数据的情况下,也能够安全地执行;
执行人工传递鉴别的两个设备应同时具有用户数据输入接口和输出接口;b)
设备的用户数据输入接口至少应具备指示一个鉴别步骤成功或不成功完成的能力(例如,2个或1个按钮,在给定时间区间内用户选择按下或不按下,从而告知设备成功或失败),这种用户数据输人接口以下称为简单输人接口。相比之下,一个标准的输入接口应支持短符号串输入,例如支持数字、十六进制数或字母的键盘。除非另有明确说明,否则每个设备都应具有一个标准的数据输入接口;
设备的用户数据输出接口至少应具备指示一个鉴别步骤成功或失败的能力(例如可以用红色d)
和绿色灯的方式实现),这种用户数据输出接口以下称为简单输出接口。相比之下,一个标准的输出接口应支持短符号串的输出,如数字、十六进制或字母显示屏。除非另有明确说明,否GB/T15843.6—2018/ISO/IEC9798-6:2010则每个设备都应具有一个标准的数据输出接口对于机制1和机制2,两个执行实体鉴别的设备应就所使用的具体检验函数达成一致,且有能e)
力实现此函数;
注1:附录D给出了用于机制1和机制2的检验函数,检验值和随机密钥长度的选择指南,附录E给出了用于机1和机制2的无条件安全检验函数的构造方法。)对于机制3一6,两个执行实体鉴别的设备应就所使用的具体杂凑函数h达成一致,且有能力实现此函数;
注2:附录D给出了用于机制3~6的杂凑函数输入输出位长度的选择指南。对于机制3和机制5,两个执行实体鉴别的设备应就所使用的具体摘要函数d达成一致,且有g)
能力实现此函数:
注3:附录D给出了用于机制3和机制5的摘要长度的选取指南,附录G则给出了适用于机制3和机制5的使用消息鉴别算法和杂凑函数来构造摘要函数的方法对于机制7和机制8.两个执行实体鉴别的设备应就所使用的具体消息鉴别算法达成一致,且h)
有能力实现此算法;
注4:附录D给出了用于机制7和机制8的消息鉴别算法,消息鉴别码和随机密钥长度的选择指南i)在执行机制1~8之前,两个设备应交换一个数据串D(结合机制3~6中的杂凌值)。D可由一个设备产生并发送给另一个设备,或两个设备分别产生一个数据串并通过双向信道发送给对方,D是双方产生的数据串的级联;执行鉴别的两个设备可由同一个用户控制,也可由两个不同的用户控制,如果是后者则这两个用户之间应该存在可信的通信途径;k)设备的用户应全程参与鉴别过程以保证正确处理这些机制。执行期间,设备间的人工数据传递不应存在显著延时,设备应按照规范的定义自动触发超时,以排除特定的攻击。6使用短检验值的机制
6.1概述
本条指定了两种使用检验值的人工鉴别机制,适用于多种不同类型的设备。具体地:第一种机制(机制1)适用于一个设备具有简单输人接口,另一个设备具有简单输出接口的情况;
第二种机制(机制2适用于两个设备都具有简单输人接口的情况。标准输入或输出接口可被用来模拟简单输人或输出接口,因此,如果两个设备都具有标准输入和输出接口,那么两种机制都是适用的。这两种机制都以以下的方式执行:一个数据串D通过两个设备共的信道被从一个设备传递到另一个设备(或是两个设备各自产生的数据串的级联),人工实体鉴别机制随之启动。作为鉴别机制的结果,两个设备都确认自己所掌握的数据串D与对方所掌握的相同。6.2机制1:一个设备具有简单输入接口,另一个具有简单输出接口6.2.1具体要求
本机制应满足如下具体要求:
a)本机制适用于一个设备(设备A)具有简单输入接口,另一个设备(设备B)具有简单输出接口的情况;
设备A应具备产生密钥的能力。
6.2.2数据交互过程
数据交换和操作的过程如下(见图1):GB/T15843.6—2018/ISO/IEC9798-6:2010两个设备都应输出一个信号,确认接收到了数据串D,且已准备好启动鉴别机制。当观察到两a
个设备都已准备好,用户应输入一个信号给设备A,通知它机制可以开始:设备A应产生一个随机密钥K,适用于双方使用的检验函数。使用此密钥K,设备A应计算b)
数据串D的检验值,检验值和密钥K应随后被设备A的输出接口输出,用户应通过其输出接口读取检验值和密钥K;
用户应使用设备B的输人接口,将设备A输出的检验值和密钥K输入到设备B。设备B应使用密钥K针对它所存储的数据串D重新计算检验值.如果两个检验值一致,则设备B应通过简单输出接口输出一个成功信号给用户,否则输出失败信号;用户应将设备B输出的成功或失败的结果,通过设备A的简单输入接口输入设备A。d)
入接口
输出:数据串D就绪
用户确认:双方就绪
用户输入:启动
产生随机密钥K,计算检bZxz.net
验值,并输出K和检验值
用户读取K和检验值
用户输入结果
简单输
出接口
输出:数据中D就绪
用户输入K和检验值
计算检验值,并与用
户输入的检验值比较
输出:接受或拒绝
用户读取结果
图1人工鉴别机制1
6.2.3人工鉴别证书
在人工鉴别机制1中,没有任何鉴别信息是通过非安全通道传递的。因此,如果在设备B获得数据串D之前,随机密钥K和检验值就从设备A传递到了设备B,也就不会影响机制1的安全性。随机密钥K和(使用K、D计算的)检验值的组合,被称作人工鉴别证书。利用人工鉴别证书.机制1提供了种延时鉴别的手段。显然,这种手段只适用于数据串D由设备A产生并发送给设备B的情况。使用人工鉴别证书的鉴别协议如下所述(应满足6.2.1提出的要求),需注意此协议能够支持数据起源鉴别,但不提供实体身份鉴别能力假设设备A产生数据串D.但需稍晚发送给设备B:5
GB/T15843.6—2018/ISO/IEC9798-6:2010a)
设备A生成适用于既定检验函数的随机密钥K并使用密钥K计算数据串D的检验值,密钥K和检验值随后通过设备A的输出接口被输出给用户,并由用户读取:用户应使用设备B的输入接口将设备A输出的密钥K和检验值输入到设备B.并由设备Bb)
本地保存;
一段时间后,当设备B接收到来自设备A的数据串D,就使用密钥K重新计算数据串D的检c)
验值,如果与先前本地存储的检验值一致,则设备B接受数据串D,并通过其简单输出接口输出成功信号给用户,否则输出失败信号。注:数据串D可以包含多类数据,例如设备的公钥、身份标识、服务域等。附录B提供了一个例子,表明人工鉴别证书可以用来在两个设备之间建立一个共享密钥。机制2:两个设备都具有简单输入接口6.3
6.3.1具体要求
本机制应满足如下具体要求:
a)本条指定的机制适用于两个设备(A和B)都具有简单输人接口的情况;b)其中一个设备(设备A)应具有产生密钥的能力。6.3.2数据交互过程
数据交换和操作的过程如下(见图2):两个设备都应输出一个信号,确认接收到了数据串D,且已准备好启动鉴别机制。当观察到两a
个设备都已准备好,用户应输入一个信号给设备A,通知它机制可以开始;设备A产生一个随机密钥K,适用于双方使用的检验函数。使用此密钥K,设备A应计算数b)
据串D的检验值,检验值和密钥K通过设备A的输出接口输出,设备A还应通过与设备B共享的信道将密钥K传递给设备B;设备B应使用接收到的密钥K计算本地存储的数据串D的检验值,并输出密钥K和检验值;c
用户应比较两个设备输出的检验值和密钥K。如果一致,则用户通过两个设备的简单输入接口向两个设备输入接受信号:如果检验值或密钥值不一致,则鉴别失败,用户应通过两个设备的简单输入接口向两个设备输人拒绝信号。如果两个设备长时间未收到用户的接受信号,则认为鉴别失败(这需要实施一种超时机制)。6
入接口
输出:数据串D就绪
GB/T15843.6—2018/ISO/IEC9798-6:2010B
简单输
入接口
输出:数据串D就绪
用户确认:双方就绪
用户输入:启动
产生随机密钥K,并将
K传递给对端
计算检验值,并输出K
和检验值
一按收K
计算检验值,并输出K
和检验值
用户比较来自两个设备输出的随机密钥K和检验值,并将接受或拒绝信号通过两个设备的简单输入接口输入二者人工鉴别机制2
7使用短摘要值或短密钥的机制
本条指定了四种人工鉴别机制,涉及短摘要值或短密钥的人工传递。这四种机制适用于不同类型的设备,具体地:
前两种机制(机制3和机制4)适用于二一个设备具有简单输人接口,另一个设备具有简单输出接口;
后两种机制(机制5和机制6)适用于两个设备都具有简单输入接口。标准输入或输出接口可被用来模拟简单输人或输出接口。因此,如果两个设备都具有标准输入和输出接口,那么四种机制都是适用的。所有的机制都以以下的方式执行:一个数据串D和一个杂值通过双方之间的信道被从一个设备传递到另一个(D也可以是两个设备各自产生的数据串的级联),人工实体鉴别机制随之启动。作为鉴别机制的结果,两个设备都确认自已所掌握的数据串D与对方所掌握的相同。机制3:一个设备具有简单输入接口,另一个具有简单输出接口7.2
具体要求
本机制应满足如下具体要求:
本机制适用于一个设备(设备A)具有简单输入接口,另一个设备(设备B)具有简单输出接口的情况;
设备A应具备产生(长)随机密钥的能力7
GB/T15843.6—2018/ISO/IEC9798-6:20107.2.2数据交互过程
数据交换和操作的过程如下(见图3):a)设备A和设备B应暂时共享数据串D,例如可通过在双方之间的信道上执行未受保护的消息交换来实现:
设备应产生并要全保存随机密钥,应适用于双方使用的摘要函数。设备A应计算h(k)并将其传递给设备B,传递方式不必是安全的,例如可通过双方之间的信道传递;c
两个设备都应通过他们的标准输出接口输出信号来确认它们已经完成步骤a)和b),面且它们已经准备好启动鉴别机制。观察到双方输出的确认信号后,用户应通过设备A的简单输入接口输入一个信号,告知设备A鉴别机制可以开始;设备A应计算短摘要值d(D,k),并将其通过自身的标准输出接口输出。用户应从设备A的d)
标准输出接口读取短摘要值,并使用设备B的标准输入接口将其输入设备B:e)
设备A应通过双方之间的信道将密钥k传递给设备B。接收到k后,设备B应计算h(k)并检验是否与步骤b)中接收到的值相等。如果相等,则设备B执行步骤f)否则设备B应给出失败信号,且应执行一种策略以确保短时间内拒绝开始新的机制3实例;f)
设备B应使用密钥及其存储的数据串D重新计算短摘要值d(D,k)。如果计算出的摘要值与设备B在步骤d中接收的副本相等,则设备B通过它的简单输出接口向用户输出成功信号,否则应输出失败信号,并执行一种策略以确保短时间内拒绝开始新的机制3实例;g)
用户应将设备B输出的成功或失败的结果,通过设备A的简单输入接口输人设备A。如果设备A没有收到任何信号,则应视为失败(这需要实施一种超时机制)。注1:步骤e)和D中用到的延时策略可以防止这样一类中间人攻击:攻击者尝试在设备B给出失败信号后假冒设备A的身份立即再次启动机制3.此时由于设备A仍在等待g)步骤中用户要输人的信号,所以有可能被成功攻击注2:在本机制中,设备B信任设备A.因为是设备A产生的随机密钥并因此首先决定了d(D.k)的正确值。如果设备B也具备产生随机密钥的能力,则设备A和设备B就不必一定相互信任,但如果这样,可能会使本机制变得更为复杂,因为需要更多的网络通信和同步开销:机制4~6也存在这种情况。需注意步骤a)和b)可能并行发生,步骤d)和e)也是。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。