GBT17903.2-2008信息技术安全技术抗抵赖采用对称技术的机制.pdf 17页

'ICS35．040L80a园中华人民共和国国家标准GB／T17903．2--2008／ISO／IEC13888-2：1998代替GB／T17903．z一1999信息技术安全技术抗抵赖第2部分：采用对称技术的机制Informationtechnology--Securitytechniques--Non—repudiation--Part2：Mechanismsusingsymmetrictechniques2008-06-26发布(ISCI／IEC13888-2：1998，IDT)2008—1卜01实施丰瞀职鬻瓣訾雠瞥翼发布中国国家标准化管理委员会捉19 GB／T17903．2--2008／ISO／IEC13888-2：1998目次前言⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯·⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯··⋯·⋯····⋯⋯·⋯··⋯⋯··⋯⋯⋯⋯·I1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12规范性引用文件⋯⋯⋯⋯··⋯⋯⋯⋯·⋯⋯··⋯·····⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·13术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯14记法和缩略语⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯15要日℃⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯·⋯⋯···⋯⋯⋯·⋯··⋯···⋯⋯···⋯⋯⋯⋯···⋯⋯⋯···⋯⋯⋯···⋯⋯26本部分各章的组织⋯⋯⋯⋯⋯⋯⋯·⋯⋯··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯37安全信封⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯38抗抵赖权标的生成和验证⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯···⋯⋯⋯⋯⋯··⋯⋯⋯⋯一38．1TTP创建权标⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯38．2抗抵赖机制使用的数据项⋯⋯⋯···⋯⋯⋯·⋯·⋯⋯··⋯⋯··⋯⋯⋯·⋯·⋯··⋯··⋯⋯⋯⋯⋯⋯⋯38．3抗抵赖权标⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯48．4TTP进行的权标验证⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一69特定抗抵赖机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯69．1原发抗抵赖机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一79．2交付抗抵赖机制⋯⋯⋯⋯⋯⋯⋯···⋯⋯··⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·79．3提交抗抵赖机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯89．4传输抗抵赖机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯89．5获取时间戳的机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯810抗抵赖机制实例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯910．1机制M1：强制NRO，可选NRD···⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯“910．2机制M2：强制NRO，强制NRD⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1010．3机制M3：带有中介TTP的强制NRO和NRD⋯⋯··⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯11附录A(资料性附录)参考标准⋯⋯⋯⋯⋯⋯······⋯·····⋯⋯⋯⋯⋯····⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯“14 GB／T17903．2--200811SO／IEC13888-2：1998前言17903在总标题《信息技术安全技术抗抵赖》下，由以下几部分组成：——第1部分：概述；——第2部分：采用对称技术的机制；——第3部分：采用非对称技术的机制。本部分是GB／T17903的第2部分，等同采用ISO／IEC13888—2：1998《信息技术安全技术抗抵赖第2部分：采用对称技术的机制》，仅有编辑性修改。ISO／IEC13888—2：1998是由联合技术委员会ISO／IECJTCl(信息技术)分技术委员会SC27(IT安全技术)提出的。本部分代替GB／T17903．2～1999《信息技术安全技术抗抵赖第2部分：采用对称技术的机制》。本部分与GB／T17903．21999相比，主要差异如下：——本部分根据第1部分的修订，更改部分术语。——本部分对部分叙述进行了文字修订，并修正了第10章中的“NORT”。本部分的附录A是资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草人：中国科学院软件研究所、信息安全国家重点实验室。本部分主要起草人：张振峰、冯登国。本部分所代替标准的历次版本发布情况为：——GB／T17903．2—1999。 GB／T17903．2--2008／150／IEC13888-2：1998信息技术安全技术抗抵赖第2部分：采用对称技术的机制1范围抗抵赖服务旨在生成、收集、维护、利用和验证有关已声称事件或动作的证据，以解决有关该事件或动作已发生或未发生的争议。本部分描述了用于抗抵赖服务的通用结构，以及一些特定的、与通信有关的机制，用于提供原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖(NRS)和传输抗抵赖(NRT)等。其他抗抵赖服务可用第8章描述的通用结构来构建，以满足安全策略的要求。本部分依赖于可信第三方来防止欺诈性的抵赖。一般需要在线的可信第三方。抗抵赖机制提供的协议用于交换各种抗抵赖服务规定的抗抵赖权标。本部分中使用的抗抵赖权标由安全信封和附加数据组成。抗抵赖权标作为抗抵赖信息予以存储，以备之后发生争议时使用。依据特定应用的有效抗抵赖策略以及该应用操作所处的法律环境，抗抵赖信息可能包括以下附加信息：a)包括时间戳机构提供的可信时间戳在内的证据；b)公证人提供的证据，以确保动作或事件是由一个或多个实体执行或参与的。抗抵赖只能在特定应用及其法律环境下、有明确定义的安全策略的范围内才可生效。2规范性引用文件下列文件中的条款通过GB／T17903的本部分的引用而成为本部分的条款。凡是注明日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB15852--1995信息技术安全技术用块密码算法作密码校验函数的数据完整性机制(idtIS0／IEC9797：1994)15843．4—1999(idtISCI／IEC9798—4：1997)18238．1--20001994)17903．1—2008IDT)信息技术安全技术实体鉴别第4部分：采用密码校验函数的机制信息技术安全技术散列函数第1部分：概述(idtISO／IEC10118—1：信息技术安全技术抗抵赖第1部分：概述(ISO／IEC13888—1：20043术语和定义17903．1—2008中的术语和定义适用于本部分。4记法和缩略语4．1记法4．1．117903．1—2008中的记法Imp(y)数据串Y的印迹，或者是数据串Y的散列码，或者是数据串YSENVj使用实体x的秘密密钥z生成的安全信封 GB／T17903．2--2008／ISO／IEC13888-2：1998text可构成一部分权标的数据项，包括密钥标识符和(或)消息标识符等附加信息，||zY和z按顺序的连接4．1．2本部分专用的记法口AbBd。f，}MAG(，)PoZLttpZ24．2缩略语DAGNRTNRDNRDTNRoNROTNRSNRSTNRTNRTTPONTSATSTTTP仅为实体A和可信第三方(TTP)所知的密钥实体A的可区分标识符仅为实体B和TTP所知的密钥实体B的可区分标识符交付机构(DA)的密钥标明抗抵赖服务类型的数据项(标记)使用实体x的密钥对数据Y计算而得到的密码校验值待生成证据的消息适用于证据的抗抵赖策略的可区分标识符事件或动作发生的日期和时间证据生成的日期和时间仅为TTP所知的密钥，用于生成抗抵赖权标为两个实体共知或者仅为TTP所知的密钥由提供NRO权标的有关数据字段组成的数据字段由提供NRD权标的有关数据字段组成的数据字段由提供NRS权标的有关数据字段组成的数据字段由提供NRT权标的有关数据字段组成的数据字段由提供TST权标的有关数据字段组成的数据字段DeliveryAuthority交付机构GenericNon—RepudiationToken通用抗抵赖权标Non-RepudiationofDelivery交付抗抵赖Non-RepudiationofDeliveryToken交付抗抵赖权标Non-RepudiationofOrigin原发抗抵赖Non-RepudiationofOriginToken原发抗抵赖权标Non-RepudiationofSubmission提交抗抵赖Non-RepudiationofSubmissionToken提交抗抵赖权标Non-RepudiationofTransport传输抗抵赖Non-RepudiationofTransportToken传输抗抵赖权标PositiveOrNegative肯定或否定，验证过程的结果Time-StampingAuthority时间戳机构Time-StampingToken时间戳权标TrustedThirdParty可信第三方5要求5．1如果两个实体使用本部分规定的某个机制，双方必须信任同一个第三方。5．2在使用这些机制之前，假定每个实体与可信第三方共享一个密钥。此外，可信第三方持有一个仅为自己所知的密钥。注：密钥管理、密钥生成和密钥建立机制在ISO／IEC11770中规定。5．3抗抵赖服务中的所有实体共享一个公共函数Imp。函数Imp或者是恒等函数，或者是2 GB／T17903．2--2008／ISO／IEC13888—2：199818238．1—2000中定义的抗碰撞散列函数。5．4为创建安全信封而选取的MAC函数必须为抗抵赖服务的所有参与者所持有。5．5生成抗抵赖权标的TTP必须能够访问时间和日期。5．6本部分规定的机制的强度依赖于密钥的长度和保密性、依赖于函数MAC的性质以及校验值的长度。这些参数的选取应该满足安全策略规定的安全级别的需求。6本部分各章的组织本部分描述的机制要求每一个相关实体都可以与TTP单独进行通信。他们需要使用第7章描述的安全信封。关于生成和验证抗抵赖权标的基本概念，以及证据的概念，在第8章描述。第9章描述的机制需要使用TTP，每一个证据的生成与验证都需要TTP的参与。该机制的三种变型在第10章中作为例子进一步描述。7安全信封共享一个秘密密钥的两个实体(该密钥仅为这两个实体所知)可以使用一种称为安全信封(SENV)的数据完整性校验方法来相互传递消息。SENV使用秘密密钥来产生，用于保护输入数据项。SENV也可由TTP使用仅为TTP持有的秘密密钥来生成和验证证据。下面使用对称的完整性技术创建安全信封。实体x的秘密密钥z用于计算密码校验值MAG(，)，该值附加在数据Y的后面：SENVx(y)一，||MACx(y)，其中MACx(y)可以是GB15852--1995中规定的消息认证码。函数MAC应满足GB／T15843．41999中规定的下列要求：一对任意密钥z和数据串，，计算MAC。(y)是可行的；一对任意固定的密钥x，在预先不知道x的情况下，即使已知一组满足MACx(y；)=≈(i一1，2，⋯)的(y，，z，)(其中y：值可以在得到z，(j一1，2，⋯，i一1)之后进行选择)，找到一对新的(y7，z)使得MAC。(y7)一z是计算上不可行的。8抗抵赖权标的生成和验证在本章描述的抗抵赖机制中，TTP担当证据生成和证据验证机构的角色。它可信赖地维护某些记录的完整性并直接参与解决争议。8．1TrP创建权标TTP颁发与消息m相应的“权标”。权标是一种安全信封，由TTP使用其秘密密钥作用于该消息所确定的数据而形成。因为其他实体都不知道秘密密钥ttp，TTP是唯一可以创建或者验证权标的实体。在GB／T17903．1—2008中，通用抗抵赖权标(GRNT)定义如下：GRNT—teJct||SENVx(，)。此外，在发布权标之前，TTP应该检查证据请求中的数据项。8．2抗抵赖机制使用的数据项8．2．1安全信封使用的数据项安全信封SENVl(z)一z||MACx(z)将在本部分描述的抗抵赖机制中进行交换，下列数据字段构成了该安全信封的内容：z—Pol||^JAB』『c||DfIEIIT，||L||QI】Imp(m)。数据字段z包括以下数据项：Pol适用于证据的抗抵赖策略的可区分标识符3 GB／T17903．2--2008／ISO／IEC13888—2：1998^提供的抗抵赖服务的类型A原发实体的可区分标识符B与原发实体进行交互的实体的可区分标识符C证据生成者的可区分标识符D证据请求者的可区分标识符，如果证据请求者与原发实体不同E动作涉及到的其他实体的可区分标识符L证据生成的日期和时间T；事件或动作发生的日期和时间Q需要保护的可选数据Imp(m)与动作有关的消息m的印迹(可能是消息m的散列码，也可能是消息m本身)。注：根据抗抵赖策略的不同，有些数据项是可选的。8．2．2抗抵赖权标使用的数据项抗抵赖权标包括一个文本域，记为text：抗抵赖权标一textSENv丌P(z)text包括一些不需要密码保护但在计算完整性校验值MAC时要用到的、标识消息和密钥的附加数据(如消息标识符或密钥标识符)。本信息依赖于所使用的技术。8．3抗抵赖权标证据由抗抵赖权标提供，如果策略要求，由附加权标提供，如时间戳权标(TST)、或者由另一个可信的第四方(如公证人)提供的、对事件和动作以及消息的存在性给予附加保证的权标。如果可信第三方可以独自生成可信时间戳，则不需要增加时间戳权标(TST)作为证据。抗抵赖权标(NROT、NRDT、NRST和NRTT)中包含的时间可认为是安全可靠的，因为它是由可信机构提供的。如果可信第三方(TTP、DA)不能够提供可信时间戳，那么抗抵赖信息集合中就需要增加由可信时间戳机构(TSA)提供的时间戳权标(TST)以完成证据。8．3．1原发抗抵赖权标原发抗抵赖权标(NROT)由TTP应原发者的请求而创建。NROT—text||z1||MACrrp(动)其中z-一PolJI，1||AI|B||c||D||t||Q||Imp(m)。NROT所需信息z-包括如下数据项：Pol适用于证据的抗抵赖策略的可区分标识符，1原发抗抵赖的标记A原发者的可区分标识符B预定接收者的可区分标识符c生成证据的TTP的可区分标识符D观察者的可区分标识符，如果存在独立观察者L证据生成的日期和时间Q需要保护的附加数据Imp(m)消息m的印迹8．3．2交付抗抵赖权标交付抗抵赖权标(NRDT)由TTP应接收者的请求而创建。NRDT—text||z2||A殂c丌P(z2)其中zz—PolI|^||A||B||Cj|D||L||1j|『Q||Imp(m)。4 GB／T17903．2--2008／ISO／IEC13888-2：1998NRDT所需信息‰包括如下数据项：Pol适用于证据的抗抵赖策略的可区分标识符^交付抗抵赖的标记A原发者的可区分标识符B接收者的可区分标识符c证据生成者的可区分标识符D观察者的可区分标识符，如果存在独立观察者t证据生成的日期和时间T2消息交付的日期和时间Q需要保护的附加数据Imp(m)消息m的印迹8．3．3提交抗抵赖权标提交抗抵赖权标(NRsT)由交付机构(DA)创建。交付机构是一个可信第三方，可以与生成NROT或NRDT的是同一个机构。NRST—textJI铂||MACnA(‰)其中z。一PoZ|1，3||A||B||CDET，||T3||QImp(m)。NRST所需信息z。包括如下数据项：Pol适用于证据的抗抵赖策略的可区分标识符，3提交抗抵赖标记A原发者(提交实体)的可区分标识符B预定接收者的可区分标识符c交付机构(DA)的可区分标识符D观察者的可区分标识符，如果存在独立观察者E代表交付机构进行活动的机构的可区分标识符(可选的)L证据生成的日期和时间L消息提交的日期和时间Q需要保护的附加数据Imp(m)提交待传输的消息m的印迹8．3．4传输抗抵赖权标传输抗抵赖权标(NRTT)由交付机构DA生成。NRTT一据z￡rz。||IMACDA(z。)其中z。一PoZI^11A11B11c11D11E11t11T。11Q11Imp(m)。NRTT所需信息盈包括如下数据项：Pol适用于证据的抗抵赖策略的可区分标识符^传输抗抵赖的标记A原发者的可区分标识符B接收者的可区分标识符c交付机构的可区分标识符D观察者的可区分标识符，如果存在独立观察者E代表交付机构进行活动的机构的可区分标识符(可选的)T。证据生成的日期和时间5 GB／T17903．2--20081[SO／IEC13888—2：1998L消息交付到接收者的数据存储区的日期和时间Q需要保护的附加数据Imp(m)消息m的印迹8．3．5时间戳权标时间戳权标(TST)由时间戳机构创建，其定义如下：TsT—text||z5||MACrsA(25)其中Z5一Pol||，5『ITSAlIt|IT5I|Q||Imp(m)。数据字段zs包括如下数据项：Pol适用于证据的抗抵赖策略的可区分标识符，5时间戳权标的标记TSA时间戳机构的可区分标识符t为特定消息生成证据(如TST)的日期和时间Q需要保护的附加数据Imp(m)与时间戳相关的消息m的印迹8．4TrP进行的权标验证在抗抵赖交换过程的某个环节上，可能需要TTP对实体的权标(如上述定义所示)进行验证。在交换完成以后的某个时刻，也可能需要再次验证权标，或者向第四方提供证据以证明其真实性。验证过程不仅要检验权标是否由TTP创建，而且要检验权标是否与消息的数据字段确切相关。为了验证权标是否为给定的消息而创建，实体把由消息计算而得的Imp(m)与数据字段z中包括的Imp(m)进行比较，然后要求TTP对权标及其数据字段进行验证。为了验证由对称完整性技术生成的安全信封，进行如下操作：使用实体x的相应秘密密钥z对安全信封中包含的数据y重新计算密码校验值MACx(y)，然后把结果与所提供的密码校验值进行比较。TTP提供了两种验证权标的方法。8．4．1在线权标验证本方法中，TTP使用包含秘密密钥ttp的安全模块来验证权标。安全模块将该权标与使用数据项Zi和秘密密钥ttp在其内部生成的值进行比较，并返回比较结果，该结果决定了权标是否有效。由于密钥ttp不为TTP之外的任何人所知，如果安全模块返回的结果表明该权标是有效的，那么所验证的权标也可以认为是真实可信的。8．4．2权标表本方法中，TTP发布的所有权标存储在一张表中。对每个已创建的权标，TTP记录下权标和相关的数据字段(z。)以及秘密密钥ttp的密钥标识符。要验证一个权标，TTP把该权标作为索引在表中查找。如果在表中能够找到要验证的权标，而且该权标所带的数据字段(即权标的一部分)与表中对应的数据字段相符，则认为该权标是真实有效的。9特定抗抵赖机制本章的抗抵赖机制支持生成下列抗抵赖证据：原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖(NRS)和传输抗抵赖(NRT)。另外，本章定义了时间戳的生成机制。实体A想要向实体B发送消息，于是A就成为抗抵赖传输的原发者，实体B成为接收者。本章所描述的某些机制中，请求的z。数据字段不包含时间信息。时间信息由TTP(或DA)提供，或者由时间戳机构应TTP(或DA)的请求而提供。注；当Imp(m)与消息m相同时，不必将优与权标一起发送，并且验证Imp(m)的步骤也可省略。6 GB／T17903．2--2008／ISO／IEC13888-2：19989．1原发抗抵赖机制原发者创建了一条消息并发送给特定的接收者。接收者使用TTP来验证与之相关的原发抗抵赖权标，从而检验该消息来源于其声称的发送者。本机制的第一步，原发者构造数据并封装入SENV发送给TTP。TTP生成原发抗抵赖权标(NROT)并返回给A。第二步，原发者A把NROT与消息m发送给接收者B。第三步，接收者把安全信封中封装的NROT发给TTP进行验证。原发抗抵赖在第三步建立。9．1．1步骤1：在原发者A和TTP之间a)实体A使用密钥a生成安全信封SENV-A(zj)，其中zj同8．3．1规定的z，，但数据项L为空。实体A把安全信封发送给TTP以请求NROT；b)TTP验证安全信封来自实体A。如果验证通过，TTP插人数据项t以完成2，，并使用密钥ttp计算：NROT—textf动JAL4c丌P(z1)，然后将SENU(NROT)返回给A；c)实体A验证SENVj(NROT)来自TTP。9．1．2步骤2：从原发者A到接收者B原发者A向实体B发送：mNROT。9．1．3步骤3：接收者B与TTP之间a)实体B验证z、中的Imp(m)值，然后使用密钥b生成SENVe(NROT)并发送给TTP，要求验证来自A的NROT；b)TTP验证SEN％(NROT)来自B，并验证NROT是合法的。如果SEN％(NROT)无效，机制终止。如果SEN％(NROT)是有效的，TTP向B发送SENh(PON||NROT)，其中：如果NROT是合法的，PON为肯定，如果NROT不合法，则PON为否定；c)实体B检验SENU(PONNROT)来自TTP；若检验通过，并且验证结果PON为肯定，则建立了原发抗抵赖；d)存储NROT以供将来原发抗抵赖使用。9．2交付抗抵赖机制本机制的第一步，实体B在接收到消息m后，向TTP发送请求以要求生成交付抗抵赖权标，该请求封装在安全信封中。TTP生成交付抗抵赖权标(NRDT)，并返回给接收者B。第二步，接收者B发送NRDT给原发者A。第三步，原发者将NRDT封装在安全信封中发送给TTP进行验证。交付抗抵赖在第三步建立。9．2．1步骤1：在接收者B与TTP之间a)实体B使用密钥b生成安全信封SENVe(z：)，其中z：同8．3．2规定的z：，但t为空。实体B通过发送安全信封向TTP请求NRDT；b)TTP检验安全信封是否来自实体B。如果是，TTP插人数据项t以完成z。，并利用密钥ttp计算：NRDT—textlIz2MAC丁1．v(z2)；c)实体B验证SEN％(NRDT)来自TTP。9．2．2步骤2：接收者B和原发者A之间实体B向实体A发送：NRDT。9．2．3步骤3：在原发者A和TTP之间a)实体A验证zz中的Imp(m)值，然后使用密钥n生成SENVj(NRDT)并发送给TTP，要求验证来自B的NRDT；b)TTP验证SENv^(NRDT)来自A，并验证NRDT的合法性。如果SENU(NRDT)无效，机7 GB／T17903．2-200s／[so／mc13888-2：1998制终止。如果SENK(NRDT)是有效的，TTP向A发送SENn(PON||NRDT)，其中：如果NRDT是合法的，PON为肯定；若NRDT不合法，PON为否定；c)实体A检验SENU(PON||NRDT)是否来自TTP。如果是，并且验证结果PON是肯定的，则交付抗抵赖建立；d)存储NRDT以供将来的交付抗抵赖使用。9．3提交抗抵赖机制本机制的第一步，提交实体x向交付机构DA发送消息m要求向前递送。第二步，交付机构DA发送提交抗抵赖权标(NRST)给实体x。提交抗抵赖在第二步建立。9．3．1步骤l：从提交实体x到交付机构DAa)实体x使用密钥z生成安全信封SENV：(z：)，其中z：同8．3．3规定的铂，但L为空。实体x然后把安全信封和消息m一起发送给DA以请求NRST；b)DA验证安全信封是否来自实体x，并通过检查Imp(m)来验证消息m的合法性，如果两者都是合法的，DA插人数据项L以完成z。，并利用密钥d。计算：NRST—textz3||MACo^(≈)。9．3．2步骤2：从交付机构DA到实体xa)DA把SENH(NRST)返回给提交实体X；b)实体X验证SENVx(NRST)是来自DA的；c)如果验证通过，则存储NRST作为提交抗抵赖的证据(表明消息已经提交)。9．4传输抗抵赖机制本机制的第一步，发送实体x向交付机构DA发送消息m，要求向前递送。第二步，交付机构DA把消息m发送给接收实体Y。第三步，交付机构生成传输抗抵赖权标(NRTT)，并发送给消息m的原发实体x。传输抗抵赖在第三步建立。9．4．1步骤1：从实体x到交付机构实体x向交付机构DA发送消息m，并请求NRTT权标。9．4．2步骤2：从交付机构到实体Y交付机构DA发送消息m给实体Y。9．4．3步骤3：从交付机构到实体xa)交付机构DA利用密钥d。生成NRTT：NRTT—text||z4fIMACnA(z4)，其中z；见8．3．4的规定；b)交付机构DA向实体x发送SENK(NRTT)；c)实体x检验SENVj(NRTT)及其内容。如果是有效的，则存储NRTT作为传输抗抵赖的证据(即消息已经交付给预定的接收者Y)。9．5获取时间戳的机制时间戳权标(TST)由一个可信的时间戳机构(TsA)应实体x的要求而生成。第一步，请求实体x发送消息z：，由TSA插入时间t使其完整。第二步，TSA将时间戳权标(TsT)返回给请求实体。9．5．1步骤1：从实体x到时间戳机构TSAa)实体x使用密钥X生成安全信封SENV。(z：)，其中z：同8．3．5规定的z；，但L为空。然后实体x向TSA发送安全信封以请求时间戳权标；b)TSA生成包含日期和时间的L，把数据项z：完成为zs；c)TSA生成TST：TST—textz5||MACAA(z5)。8 GB／T17903．2--2008／ISO／IEC13888-2：19989．5．2步骤2：从时间戳机构TSA到实体xa)时间戳机构利用实体A和TSA共知的密钥z生成安全信封SENVx(TST)，由此把时间戳权标返回给请求实体x；b)实体x验证安全信封的有效性。10抗抵赖机制实例本章所示的抗抵赖机制可在实体A和B之间提供原发抗抵赖和交付抗抵赖。实体A欲向实体B发送消息，于是成为抗抵赖交换的原发者。作为消息的接收方，实体B就是接收者。在使用本机制之前，假设实体A和实体B分别持有密钥a和b，TTP除了拥有自己的密钥ttp以外，还持有密钥n和b。下面给出了使用在线TTP的三种不同的抗抵赖机制(M1，M2和M3)。注1：通过在SENV消息中包含时间戳或者序列号，可以防止未授权延迟或消息重放。通过在NROT和NRDT中包含时间戳，可进一步验证消息传输时的时间戳。注2：如果Imp(m)与消息m相同，则不必把m与权标一起发送，并且可省略验证Imp(m)的步骤。10．1机制M1：强制NRO，可选NRD在两个实体与TTP之间通过3个步骤可建立原发抗抵赖，如果继续可选的NRD步骤(根据接收者的决定)，那么再进行2个步骤可建立交付抗抵赖(见图1)。注：尽管是否继续进行交付抗抵赖的步骤取决于接收者，但要注意的是，一旦建立了交付抗抵赖，这一可选的交付抗抵赖就完全绑定了。图1机制M110．1．1步骤1：原发者A与TTP之间a)实体A使用密钥n生成安全信封SENVA(zj)，其中zj同8．3．1规定的卸，但数据项t为空。然后实体A把安全信封发送给TTP以请求NROT；b)TTP检查安全信封是否来自A。如果是，TTP插人数据项t以完成z，，并使用密钥ttp9 GB／T17903．2--2008／ISO／IEC13888-2：1998计算：NROT—text1jz111A伪c仃P(z1)，然后将SENH(NROT)返回给A；c)实体A验证SENU(NROT)来自TTP。10．1．2步骤2：从原发者A到接收者B原发者A向实体B发送：mIlNROT。10．1．3步骤3：接收者B与TTP之间a)实体B验证z。中包含的Imp(m)值，然后使用密钥b生成SENVe(NROT)并发送给TTP，要求验证来自A的NROT)b)TTP检查SEN％(NROT)和NROT。如果两者都是有效的，TTP生成交付抗抵赖权标NRDT，并发送SENK(PON||NROT||NRDT)给实体B，其中PON是肯定的。如果SENVB(NROT)是有效的，而NROT无效，TTP发送SENU(PONNROT)给实体B，其中PON是否定的；c)实体B验证SEN％(PON||NROTNRDT)来自TTP，如果是有效的，而且PON是肯定的，则创建了原发抗抵赖(即消息来自于A)。如果B接收到的是SEN％(PON||NROT)并且PON是否定的，那么NROT是无效的，机制终止；d)存储NROT以供将来原发抗抵赖使用。10．1．4步骤4：从接收者B到原发者A实体B发送NRDT给实体A。10．1．5步骤5：在原发者A与TTP之间a)实体A验证zz中包含的Imp(m)值，然后使用密钥n生成SENVj(NRDT)并发送给TTP，要求验证来自B的NRDT}b)TTP验证SENK(NRDT)是否来自A，并验证NRDT的真实性。如果两者都是有效的，TTP发送SENH(PONJ|NRDT)给A，其中PON为肯定的。如果NRDT是无效的，TTP向A发送SENVA(PON||NRDT)，其中PON是否定的；c)实体A验证SENn(PON||NRDT)是否来自TTP。如果有效，并且验证值PON是肯定的，则建立了交付抗抵赖；d)存储NRDT以供将来的交付抗抵赖使用。10．2机制M2：强制NRO，强制NRD在两个实体和TTP之间通过4个步骤可建立原发抗抵赖和交付抗抵赖。在本机制中，TTP在向B发送消息收据的同时，直接通过SENV把它发送给A(见图2)。10．2．1步骤1：原发者A和TTP之间a)实体A使用密钥n生成安全信封SENvi(zj)，其中zj同8．3．1规定的z。，但数据项t为空。实体A然后向TTP发送安全信封以请求NROT；|b)TTP验证安全信封是否来自A。如果是，TTP插人数据项t以完成z-，然后使用密钥ttp计算：NROT—text||z1||MACrrP(劫)，进而利用密钥n生成SEN’，^(NROT)并返回给A；c)实体A验证SEN玖(NROT)来自TTP。10．2．2步骤2：从原发者A到接收者B实体A向实体B发送：mllNROT。】0 GB／T17903．2--2008／ISO／IEC13888—2：1998图2机制M210．2．3步骤3：接收者B与TTP之间a)实体B验证≈中包含的Imp(m)值，然后使用密钥b生成SENV。(NROT)并发送给TTP，要求验证来自A的NROT；b)TTP检验SENVB(NROT)是否来自B，并检验NROT是否真实的。如果两者都有效，TTP生成NRDT，并发送SENVB(PON|NROT||NRDT)给实体B，其中PON是肯定的；如果SENV是有效的，而NROT无效，TTP发送SENVB(PON||NROT)给B，其中PON是否定的；c)实体B验证SENVB(PON||NROTNRDT)是否来自TTP；如果是，而且PON是肯定的，则创建了原发抗抵赖。相应的，如果B接收到了SENVB(PON||NROT)，而且PON是否定的，那么NROT无效，机制终止；d)存储NROT以供将来原发抗抵赖使用。10．2．4步骤4：TTP和实体A之间a)在步骤3中向B发送NRDT后，TTP立即向A发送SENv^(NRDT)；b)实体A检查SENVA(NRDT)和NRDT，如果两者都有效，则建立了交付抗抵赖(即B收到了消息)；c)存储NRDT以供将来交付抗抵赖使用。10．3机制M3：带有中介TTP的强制NRO和NRD在两个实体和TTP之间通过4个步骤可建立原发抗抵赖和交付抗抵赖。在机制M3中，TTP在原发者和接收者之间充当了中间人的角色，两个实体不再直接通信。为此，实体A发送消息给TTP作为步骤1中的一部分，TTP将之传递给实体B作为步骤2的一部分(见图3)。】1 GB／T17903．2--2008／ISO／IEC13888—2：1998图3机制M310．3．1步骤1：原发者A和TTP之间a)实体A使用密钥n生成安全信封SENVA(zj)，其中zj同8．3．1规定的≈，但数据项L为空。实体A把安全信封和消息m一起发送给TTP以请求NROT；b)TTP检验安全信封是否来自A。如果是，TTP插入数据项L以完成z。，并使用密钥ttp计算：NROT—text||#1^nC丌P(≈)，之后利用密钥n将SENvi(NROT)返回给A；c)实体A验证SENU(NROT)来自TTP。10．3．2步骤2：从TTP到接收者BTTP将m和NROT发送给B。10．3．3步骤3：实体B与TTP之问a)由于NROT不是以安全信封的方式收到的，实体B必须与TTP一起来验证NROT，所以B在验证Imp(m)之后，向TTP发送SEN％(NROT)；b)TTP验证SENK(NROT)来自B，并验证NROT的真实性。如果两者都是有效的，TTP创建NRDT，并向B发送SENK(PONNROT||NRDT)，其中PON为肯定。如果SENV是有效的，而NROT无效，TTP向B发送SENVB(PON||NROT)，其中PON是否定的；c)实体B检验SENV是否来自TTP。如果是，而且NROT是肯定的，则创建了原发抗抵赖。相应地，如果B接收到的是SENVB(PON||NROT)，其中PON是否定的，那么NROT无效，机制终止；d)存储NROT以供将来原发抗抵赖使用。12 GB／T17903．2--2008／ISO／IEC13888—2：199810．3．4步骤4：TTP和原发者A之间a)在步骤3中向B发送NRDT后，TTP立即向A发送SENVa(NRDT)b)实体A在验证SENV．,,(NRDT)确实来自TTP后，建立交付抗抵赖；c)存储NRDT以供将来交付抗抵赖使用。13 GB／T17903．2--2008／ISO／IEC13888—2：1998[1]Ez3附录A(资料性附录)参考标准GB15843．2—1997信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制(idtIS0／IEC9798—2：1994)17901．11999信息技术安全技术密钥管理第1部分：框架(idtISO／IEC11770-1：1996)信息技术安全技术密钥管理第2部分：使用对称技术的机制信息技术安全技术密钥管理第3部分：使用非对称技术的％∞增"23旷旷””1C[三jm吖吖制蛤硌机]]口阻'