ICS35.040
中华人民共和国国家标准
GB/T34953.2—2018/IS0/IEC20009-2:2013信息技术
安全技术
蘑名实体鉴别
第2部分:基于群组公钥签名的机制Information technology—Security techniquesAnonymous entity authentication-Part 2:Mechanisms based on signatures using a group public key(ISO/IEC20009-2:2013,IDT)
2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
规范性引用文件
术语和定义
符号和缩略语
模型和需求
密钥产生过程
无在线可信第三方参与的匿名鉴别机制7.1
单向匿名鉴别
双向匿名鉴别
单向匿名双向鉴别·
带有绑定特性的双向匿名鉴别.
带有绑定特性的单向匿名双向鉴别·7.6
8有在线可信第三方参与的匿名鉴别机制8.1
单向盾名鉴别
双向匿名鉴别·
bzxZ.net单向匿名双向鉴别
9群组成员打开过程
证据评价过程·
群组签名连接过程
与打开方的连接过程
带有连接密钥的连接过程
带有连接库的连接过程
附录A(规范性附录)
对象标识符:
附录B(资料性附录)具有绑定属性的机制的信息参考文献
GB/T34953.2—2018/IS0/IEC20009-2:2013次
GB/T34953.2—2018/IS0/IEC20009-2:2013前言
GB/T34953《信息技术安全技术匿名实体鉴别》已发布或计划发布以下部分:一第1部分:总则;
一第2部分:基于群组公钥签名的机制一第3部分:基于盲签名的机制;第4部分:基于弱秘密的机制。
本部分为GB/T34953的第2部分。本部分按照GB/T1.1一2009给出的规则起草。本部分使用翻译法等同采用ISO/IEC20009-2:2013《信息技术安全技术匿名实体鉴别第2
部分:基于群组公钥签名的机制》。与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T34953.1一2017信息技术安全技术匿名实体鉴别第1部分:总则(ISO/IEC20009-1:2013.IDT)。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室WAPI产业联盟(中关村无线网络安全产业联盟)、国家密码管理局商用密码检测中心、重庆邮电大学国家无线电监测中心检测中心,中国电子技术标准化研究院、天津市无线电监测站、中国通用技术研究院、北京大学深圳研究生院、中国科学院软件研究所、国家计算机网络应急技术处理协调中心、中国网络空间研究院、国家信息技术安全研究中心、国家信息安全工程技术研究中心,中国人民解放军信息安全测评认证中心、公安部第三研究所、北京计算机技术及应用研究所、福建省无线电监测站、北京数字认证股份有限公司、中国电信股份有限公司上海研究院、工业和信息化部宽带无线IP标准工作组。本部分主要起草人:杜志强、曹军、黄振海、李大为、宋起柱、李琴、龙昭华、冯登国、舒敏、陈晓桦、李京春、葛培勤、郭晓雷、高波、朱跃生、李广森、顾健、李楠、于光明、张璐璐、铁满霞、张变玲、许玉娜、胡亚楠、颜湘、张国强、童伟刚、李明、万洪涛、王月辉、郑骊、彭潇、朱正美、陈志宇、侯鹏亮、许福明GB/T34953.2—2018/ISO/IEC20009-2:2013引言
GB/T34593的本部分定义了基于群组公钥签名的磨名实体鉴别机制,分为有在线可信第三方参与的鉴别机制和无在线可信第三方参与的鉴别机制两类本文件的发布机构提请注意,声明符合本文件时,可能涉及第8章与ZL201010546339.3、ZL201010546320.9.CN201210063055.8.CN201210063632.3.CN201210063650.1.ZL200910024191.4.ZL200910023774.5、ZL200910023735.5等相关的专利的使用。本文件的发布机构对于该专利的真实性,有效性和范围无任何立场该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可通过以下联系方式获得:专利持有人姓名:西安西电捷通无线网络通信股份有限公司地址:西安市高新区科技二路68号西安软件园秦风阁A201联系人:冯玉晨
邮政编码:710075
电子邮件:
[email protected]电话:029-87607836
传真:029-87607829
网址:http://iwncomm.com本文件的发布机构提请注意,本文件等同采用ISO/IEC20009-2:2013,因此,除上述声明外,韩国电子通信研究院、英特尔公司针对ISO/IEC20009-2:2013所作出的专利持有人愿意基于无歧视、合理条件和条款与其他方协商许可”的声明适用于本文件。相关信息可通过以下联系方式获得专利持有人姓名:Electronics andTelecommunicationsResearchInstitute地址:161,Gajeong-dongYuseong-gu,Daejeon,305-7o0,KOREA联系人:Hanchul Shin
电子邮件:
[email protected]电话:+82-042-860-5797
传真:+82-042-860-3831
网址:http://etri.re.kr专利持有人姓名:IntelCorporation地址: Intel Legal and Corporation Affairs 220o Mission College Blvd.,RNB-150, Santa Clara,CA95054
联系人:James Kovacs
电子邮件:
[email protected]电话:408-765-1170
传真:408-613-7292
网址:http://intel.com/standards/licensing.html请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
1范围
GB/T34953.2—2018/ISO/IEC20009-2:2013信息技术安全技术名实体鉴别
第2部分:基于群组公钥签名的机制GB/T34953的本部分定义了基于群组公钥签名的匿名实体鉴别机制,验证方基于群组签名机制验证对端身份的合法性且不需要获得对端的身份信息。本部分规定了:
基于群组公钥签名的匿名实体鉴别机制的通用描述;多种匿名鉴别机制。
本部分描述了:
群组成员发布过程;
一无在线可信第三方参与的匿名实体鉴别机制;有在线可信第三方参与的匿名实体鉴别机制。另外,本部分还规定了:
群组成员身份打开的过程(可选);一群组成员签名连接的过程(可选)。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO/IEC20008-1信息技术安全技术匿名签名服务第1部分:总则(InformationtechnologySecurity techniques-Anonymous digital signatures-Part l:General)ISO/IEC20008-2信息技术安全技术置名签名服务第2部分:采用群组公钥的机制(Infor-mation technology-Security techniques-Anonymous digital signatures-Part 2: Mechanisms using agrouppublic key)
」第1部分:总则(InformationISO/IEC20009-1信息技术安全技术匿名实体鉴别technologySecurity techniques-Anonymous entity authenticationPart l: General)3术语和定义
ISO/IEC20008-1,ISO/IEC20009-1界定的以及下列术语和定义适用于本文件,3.1
绑定属性binding-property
在通信实体的消息间提供绑定保证的属性。3.2
certificationauthority
认证机构
受信任的创建和颁发公钥证书的实体。[ISO/IEC11770-1:2010,定义2.3]1
GB/T34953.2—2018/ISO/IEC20009-2:20133.3
fephemeral keypair
临时密钥对
由一个临时公钥和一个临时私钥构成的一个非对称密钥对,该临时公钥和临时私钥对一个加密方案的每次执行过程均是惟一的。3.4
group publickey certificate
群组公钥证书
由证书认证机构签发的群组的公钥信息3.5
群组公钥认证机构
group public key certification authority被信任用于创建和分配群组公钥证书的实体。3.6
群组公钥信息grouppublickeyinformation该信息至少包含群组可区分标识符和群组公钥,而且也能包含关于群组公钥认证机构、群组,密钥使用限制、有效期以及相关算法等其他静态信息。3.7
密钥导出函数
key derivation function
以共享秘密和其他互相都知道的参数作为输人,输出用做密钥的一个或多个共享秘密的函数IS0/1EC11770-3:2015.定文3.223.8
本地连接能力local linkingcapability具备如下特征的连接能力,来源于相同匿名用户的两个或多个签名仅被特定的群组签名连接器通过一个连接密钥连接,而其他实体则不能连接上述签名。3.9
消息鉴别码
message authentication code;MAC消息鉴别码算法输出的比特串。[ISO/IEC9797-1:2011.定义3.9]3.10
消息鉴别码(MAC)算法
messageauthenticationcode(MAC)algorithm一种算法,用于计算将比特串和秘密密钥映射为定长比特串的函数,并满足以下两种性质:对任意密钥和任意输人串,该函数能被有效计算;对任一固定的密钥,该密钥在未知情况下,即便已知输入串和对应函数值的集合(其中第个输人串的值可以在观察前一1个函数值的值之后被选定),计算任何新输人串的函数值在计算上也是不可行的。
LIS0/IEC9797-1:2011,定义3.103.11
publickey certificate
公钥证书
由证书认证机构签发的实体的公钥信息。[ISO/IEC11770-1:2010,定义2.37]]3.12
公钥信息
public keyinformation
该信息至少包含实体可区分标识符和公钥,而且也能包含关于认证管理机构、实体、密钥使用限制、有效期以及相关算法等其他静态信息[ISO/IEC11770-1:2010,定义2.38】2
4符号和缩略语
下列符号和缩略语适用于本文件。A
Cert B
gsSx(m)
mack(M)
sSx(m)
实体A的可区分标识符
实体B的可区分标识符
实体A的公钥证书
实体B的公钥证书
群组G的群组公钥证书
群组G或G'的可区分标识符
GB/T34953.2—2018/IS0/IEC20009-2:2013q阶循环群,其中的判定性Diffie-Hellman(DDH)问题是难解的G的生成元
实体X使用群组公钥生成的匿名签名,该签名是实体X应用了一种本部分规定的群组签名机制、使用群组成员签名密钥S对待签名消息批的签名群组G的身份,可以用G或Cert表示群组X的身份,可以用X或Certx表示密钥导出函数
消息鉴别码
待签名消息
使用密钥K和一个任意数据串M的MAC算法由实体X颁发的序列号
实体A的公钥
实体B的公钥
群组G的群组公钥
验证实体A的公钥或公钥证书的结果验证实体B的公钥或公钥证书的结果验证群组G的群组公钥或群组公钥证书的结果实体X产生的随机数
与实体X关联的群组成员签名密钥,实体X是群组G的一个成员
实体X用其签名私钥对消息m生成的数字签名TTP的可区分标识符
可信第三方
实体X颁发的时间戳
[0.q-1]之间的整数集
YIZ用于表示数据项Y和Z以指定的顺序串联的结果。当两个或多个数据项的串联结果作为一种本部分指定的机制的输人时,这个结果应能够被惟一的分解成其构成时的数据项的一个组合,这样才不会导致存在含糊不清的解释的可能。后面的这个属性根据具体的应用存在多种不同的实现方式。例如,它可以采用以下两种方式
在整个机制的使用过程中固定每个数据项的长度;a)
使用能够确保解码惟一性的串联数据项的序列编码方法,如ISO/IEC8825-1[1]中使用的区别性编码规则。
GB/T34953.2—2018/ISO/IEC20009-2:20135模型和需求
本章描述了匿名鉴别机制涉及的模型和需求,个基于群组公钥签名的实体鉴别机制通常包含一系列的群组成员。每个群组一定有一个群组成员发布方。如果有必要通过打开在鉴别协议中产生的一个群组签名来揭露它的声称方,一个群组应有一个群组的打开方。一个群组如果有必要连接同一声称方出于鉴别的自的产生的两个群组签名,也可能要有一个连接方。这个机制的匿名强度取决于这个群组的群组成员数量,一个匿名的实体鉴别机制被定义为如下规范流程:
一密钥的产生过程:
名实体的鉴别过程;
一打开过程(如果机制支持打开);连接过程(如果机制支持连接)。正如以下定义,本部分中使用到了各种各样的实体,有些实体在所有的机制中都会涉及,而其他些实体只在部分机制中才涉及。在本部分中,如果一个机制支持打开或者连接,则其使用的相关操作过程所遵循的群组签名方案见ISO/IEC20008-2。声称方(Claimant):一个在被鉴别时其身份不会被揭示的实体,在本部分中,一个声称方按ISO/IEC20008-2规定的群组签名方案充当一个签名方的角色:注:在一些机制中,声称方的角色在多个实体之间分解。例如,直接匿名验证(DAA)机制就涉及一个具有有限计算和存储能力的主要声称方,比如一个可信平台模块(TPM),以及一个具有更高计算能力但更低安全容错性的辅助声称方,比如一个普通计算机平台(即内嵌TPM的主机)。验证方(Verifier):一个验证声称方身份正确性的实体,而其并不知道声称方的真实身份;发布方(Issuer):一个给声称方分发群组成员凭证的实体,该实体存在于ISO/IEC20008-2规定的所有机制中;
打开方(Opener):一个能够确定使用在鉴别过程中产生的群组签名的声称方身份的实体,该实体存在于ISO/IEC20008-2规定的部分机制中。在某些机制,群组成员关系发布方、群组成员打开方是相同的实体;
连接方(Linker):一个能够判断用于鉴别的两个群组签名是否来源于同一个声称方的实体。该实体存在于ISO/IEC20008-2规定的部分机制中。在一些机制中,这个连接方也是验证方,在一个匿名实体验证的机制中,这些连接方的数量是不固定的。要求每个参与匿名实体鉴别机制的实体都知道一个公共的群组参数,这个参数用于该机制中的许多函数的计算。
GB/T34953的本部分规定的24种验证机制有如下预期用途。如果在线TTP不是必要的或是不可用的,宜使用第7章的机制。在第7章的16种机制中,第1~第8种机制没有绑定属性,而第9~第16种机制则具有绑定属性。如果需要使用在线TTP参与的机制,则宜使用第8章中的机制。第7章和第8章规定的机制都提供单向名鉴别、双向匿名鉴别和单向诺名双向鉴别,并根据不同的步数提供多种选项。本部分所规定的各机制的对象标识符见附录A。撤销过程用于撤销用户并且检查用户是否被撤销,这个过程的细节依赖于用于产生匿名鉴别的权标(Token)的匿名数字签名方案。ISO/IEC20008-1规定了撤销过程的一般模型,ISO/1EC20008-2规定了使用一个群组公钥的个人匿名签名方案的操作过程6密钥产生过程
密钥产生过程包含生成群组成员分发密钥,群组成员打开密钥和在机制有要求时的群组签名连接4
GB/T34953.2—2018/IS0/IEC20009-2:2013密钥(或多个密钥)的密钥产生算法。密钥产生算法的细节在本部分的范围之外。密钥产生过程也包含了一个群组成员的发布过程,该群组成员发布过程在一个群组成员和一个发布方之间操作,且涉及一个群组成员签名密钥的创建为了防止窃听者观察到群组成员的凭证以及确保群组成员凭证只提供给一个合法的群组成员,一个群组成员(作为声称方)和一个发布方之间要求一个安全可靠的信道。本部分并没有规定群组发布方如何验证一个群组成员
密钥产生包括步骤a)和步骤b,如图1所示,详细步骤如下:a)群组成员发布方将群组发布密钥、群组公钥、群组公共参数以及可选的可区分标识符作为输人。在这一步,一个群组成员发布方可以和一个群组成员交互操作;群组成员发布过程输出一个群组成员签名密钥b)
可区分标识符:
群组发布密钥
群组公共参数
群组成员发布者[和群组成员请求者】群组成员发布过程
群组成员私钥
群组成员证书
群组成员签名密销
图1群组成员的发布过程
7无在线可信第三方参与的匿名鉴别机制7.1概述
群组公钥
本章给出了无在线可信第三方参与的赔名实体鉴别机制。本章中规定的机制使用群组公钥证书或者其他手段验证群组公钥的有效性。这些机制用于覆盖打开和连接过程的扩展分别在第9章和第10章中规定。
指定的实体鉴别机制使用时变参数如时间戳,序列号或随机数(参见ISO/IEC9798-1:2010[3]的附录B)。
在本部分中,权标可采用如下形式Token =XI ll X2 II...X, lgsSxa (Y IlY.... Y,).在一个单向匿名双向鉴别机制中,一个数字签名sSx(Y,ⅡY2..IY)可被一个群组签名sSxc(YY.Y,代替。
在带有绑定特性的双向匿名鉴别机制和带有绑定特性的单向匿名双向鉴别机制中,MAC可另外级联或者MAC可取代群组签名sSxG(YY...IY,)。在本部分中,“被签名消息\指的是被用作群组签名方案的输人的数据串YIⅡIY....IY。“消息”指的是数据串XX.X,。X.X?.X,和YY2.Y,的关键部分宜保持相同,其他部分因它们采用的群组签名方案和特定的应用而可能有所不同。如果包含在权标中被签名消息里的信息能够从群组签名中恢复,则它不必被包含在权标的信息中如果包含在权标中被签名消息里的文本部分不能够从群组签名中被恢复,则它应被包含在权标的非签名信息中。
如果在权标中被签名消息的信息是由声称方发送到验证方,且验证方已经知晓这个信息(例如一个5
GB/T34953.2—2018/ISO/IEC20009-2:2013随机数),则它不必包含在权标的信息中在本部分规定的机制中所规定的所有文本字段都是可以使用的,但具体如何使用不在本部分的规定范围之内,这些文本段之间的关系和内容取决于特定的应用。关于文本字段的使用相关的信息参见ISO/IEC9798-3[4]的附录A。注1:第一个实体在其签名的数据块中包括它自已的随机数,可以减轻当该数据块已经被恶意的第二个实体所控制时的、与数据块实体签名相关的安全间题。在这种情况下,随机数的不可预测性防正了完全预定义数据的签名。
注2:群组公钥证书的分配超出了本部分的标准化范围·除了涉及第8章规定的在线可信第三方参与的鉴别机制外,群公钥证书的发送在所有机制中都是可选的。7.2描述了单向匿名鉴别机制,这种机制为一个实体提供对端实体的合法性确认,反之亦然。7.3描述了双向匿名鉴别机制,这种机制为两个实体相互间提供合法性确认。7.4描述了单向匿名双向鉴别机制,在一个方向上提供匿名实体鉴别,另一个方向上提供实体鉴别。7.3和7.4中规定的三次传递鉴别协议和两次传递并行的鉴别协议可能会遭受到“误绑定”攻击(参见参考文献[11]),当质询和权标信息没有被绑定到一起,将有可能出现一个实体去发送质询信息后而在相同群组中的另外一个实体假冒前一个实体发送权标信息的情况。关于误绑定攻击以及绑定属性的更多信息参见附录B。
为减弱误绑定攻击,7.5和7.6规定了八种具有绑定属性的用于两次传递和三次传递并行的鉴别协议的机制。
7.2单向匿名鉴别
7.2.1总则
单向匿名鉴别是指两实体中只有一个实体(即声称方,群组G中的实体A)被鉴别,而被鉴别实体对于对端实体(即验证方B)是名的。7.2.2机制1——一次传递单向匿名鉴别该机制由群组G中的实体A向实体B发起鉴别协议。惟一性或时效性通过产生并检查时间戳或序列号(参见ISO/IEC9798-1:2010[3]的附录B)来控制。该鉴别机制如图2所示,由实体A发起,实体B完成对实体A的鉴别。声称方
a[CeriG] Tokeng
图2一次传递单向匿名鉴别
声称方A发送给验证方B的权标TokenAB形式为:R
验证方
TokenAB=TA(或NA)B[Terta]gsSGa(TA(或NA)B[Teati])。声称方A选用时间戳截TA或序列号NA为时变参数,该选择依赖于声称方的技术能力和验证方的环境。签名值gsSAG是群组签名,使用了ISO/IEC20008-2中描述的群组签名机制。CertG是群组公钥证书,该证书包含群组G的群组公钥。注1:权标TokenAa的被签名消息中包含标识符B是必要的,可以防止权标被除了指定的验证方以外的验证方所接收。
注2:通常,该过程不验证Teat?注3:本机制的一种应用是密钥分发(参见ISO/IEC9798-1:2010[3]的附录A)。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。