标准搜索结果: 'GB/T 39205-2020'
标准编号 | GB/T 39205-2020 (GB/T39205-2020) | 中文名称 | 信息安全技术 轻量级鉴别与访问控制机制 | 英文名称 | Information security technology -- Light-weight authentication and access control mechanism | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 14,138 | 发布日期 | 2020-10-11 | 实施日期 | 2021-05-01 | 起草单位 | 西安西电捷通无线网络通信股份有限公司、中关村无线网络安全产业联盟、国家无线电监测中心检测中心、国家密码管理局商用密码检测中心、中国电子技术标准化研究院、天津市无线电监测站、中国科学院软件研究所、国家信息技术安全研究中心、北京数字认证股份有限公司、数安时代科技股份有限公司、重庆邮电大学、北京大学深圳研究生院、中国通用技术研究院、北京计算机技术及应用研究所 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 标准依据 | 国家标准公告2020年第21号 | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 39205-2020
Information security technology -- Light-weight authentication and access control mechanism
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
轻量级鉴别与访问控制机制
2020-10-11发布
2021-05-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 1
4.1 符号 1
4.2 缩略语 2
5 轻量级鉴别机制 2
5.1 概述 2
5.2 基于异或运算的鉴别机制 2
5.3 基于密码杂凑算法的鉴别机制 3
5.4 基于分组密码算法的鉴别机制 5
6 轻量级访问控制机制 6
6.1 概述 6
6.2 基于分组密码算法的访问控制机制 6
6.3 基于访问控制列表的访问控制机制 7
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:西安西电捷通无线网络通信股份有限公司、中关村无线网络安全产业联盟、国家
无线电监测中心检测中心、国家密码管理局商用密码检测中心、中国电子技术标准化研究院、天津市无
线电监测站、中国科学院软件研究所、国家信息技术安全研究中心、北京数字认证股份有限公司、数安时
代科技股份有限公司、重庆邮电大学、北京大学深圳研究生院、中国通用技术研究院、北京计算机技术及
应用研究所。
本标准主要起草人:李琴、杜志强、黄振海、张国强、颜湘、陶洪波、李冬、李冰、许玉娜、刘景莉、铁满霞、
王月辉、吴冬宇、于光明、龙昭华、朱跃生、张永强、张严、熊克琦、刘科伟、赵晓荣、张变玲、高德龙、郑骊、
王莹、赵慧、张璐璐、朱正美、黄奎刚、傅强。
引 言
本文件的发布机构对于上述专利的真实性、有效性和范围无任何立场。
该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,
就专利授权许可进行谈判。该专利持有人的声明已在本文件的发布机构备案。
信息安全技术
轻量级鉴别与访问控制机制
1 范围
本标准规定了轻量级的鉴别机制与访问控制机制。
本标准适用于无线传感器网络、射频识别、近场通信等资源受限的应用场景下鉴别与访问控制机制
设计开发和应用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15629.3-2014 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求
第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范
GB/T 25069 信息安全技术 术语
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32907 信息安全技术 SM4分组密码算法
ISO/IEC 29180:2012 信息技术 系统间远程通信和信息交换 泛在传感器网络安全框架
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
鉴别机制
证实实体是其所声称的实体的机制。
3.2
访问控制
保证数据处理系统的资源只能由被授权主体按照授权方式进行访问的手段。
3.3
可信第三方
在同安全相关的活动方面,被其他实体信任的安全机构或其代理。
注:可信第三方是实体A和实体B所信任的第三方实体,可对实体A和实体B的身份真实性进行验证。
4 符号和缩略语
4.1 符号
下列符号适用于本文件。
:异或运算(XOR)
‖:消息串联
< < < :左循环移位
+:模加
-:模减
On:长度为n比特的二进制常量
Q:用户对某一资源的访问请求
4.2 缩略语
下列缩略语适用于本文件。
5 轻量级鉴别机制
5.1 概述
轻量级鉴别机制在实现实体之间的身份真实性确认的同时降低鉴别过程中的计算和通信复杂度。
较之通常的机制,轻量级鉴别机制有如下几个衡量角度:
a) 计算资源占用少;
b) 交互消息少;
c) 耗时短;
d) 所需要的存储空间少。
5.2 基于异或运算的鉴别机制
基于异或运算的鉴别机制,通过简单的异或、移位运算来实现实体A和实体B之间的身份真实性
的确认,鉴别过程见图1。
加密算法;
c) User收到DAE的鉴别响应消息后,首先判断消息中的随机数N1是否是User选择的随机数,
若不是,直接丢弃该消息;若是,则利用与 ACr之间的共享密钥 KACr,User计算 ET2=E
(KACr,User,N1),计算消息鉴别码 MIC1=HMAC(KACr,User,N1‖IDDAE‖ET1‖ET2),构造实体
鉴别请求消息N1‖IDDAE‖ET1‖ET2‖MIC1发送给ACr,其中,IDDAE是DAE的身份标识;
d) ACr收到User的实体鉴别请求消息后,首先根据 MIC1判断消息的完整性,若验证不通过,丢
弃该消息;若验证通过,利用与DAE之间的共享密钥KACr,DAE解密ET1,若解密后得到的N1与
User在步骤c)中发送的N1不相等,ACr构造实体鉴别响应消息N1‖IDDAE‖RES(DAE)‖
MIC2发送给 User,其中 MIC2=HMAC(KACr,User,N1‖IDDAE‖RES(DAE)),Res(DAE)=
Failure表示ACr对DAE鉴别失败;若解密后得到的N1与User在步骤c)中发送的N1相等,
ACr利用与User共享的密钥KACr,User解密ET2,若解密后得到的N1与User在步骤c)中发送
的N1不相等,终止鉴别;若解密后得到的 N1与 User在步骤c)中发送的 N1相等,ACr生成
User和DAE间的会话密钥KDAE,User,并根据User的身份标识查询ACL,获得User的访问控
制信息 ACLUser,连同 User的访问期限 TV,利用 KACr,DAE计算 ET3=E(KACr,DAE,IDUser‖
KDAE,User‖TV‖ACLUser),并利用 KAC,User计算 ET4=E(KACr,User,KDAE,User),计算 MIC2=
HMAC(KACr,User,N1‖IDDAE‖RES(DAE)‖ET3‖ET4),构造实体鉴别响应消息N1‖IDDAE
‖RES(DAE)‖ET3‖ET4‖MIC2发送给 User,其中,RES(DAE)=True表示ACr对DAE鉴别成功;
e) User收到ACr的实体鉴别响应消息后,首先判断随机数N1是否是User选择的随机数,若不
是,丢弃该消息;若是,根据MIC2判断消息的完整性;若验证不通过,丢弃该消息;若验证通过,
User根据RES(DAE)判断DAE的合法性,若RES(DAE)=Failure,表示DAE非法,User终
止访问;若RES(DAE)=True,User解密消息中的ET4,产生随机数N3,连同DAE的随机数
N2以及User的访问请求利用解密后获得的与目的访问实体间的会话密钥KDAE,User计算ET5
=E(KDAE,User,N2‖N3‖IDUser‖QUser),计算 MIC3=HMAC(KDAE,User,ET3‖ET5),构造访问
请求消息ET3‖ET5‖MIC3发送给DAE;
f) DAE收到User的访问请求后,首先解密ET3,获得会话密钥KDAE,User,根据 MIC3判断消息完
整性,若校验不通过,拒绝访问;若校验通过,利用KDAE,User解密ET5,判断解密后得到的N2是
否是DAE选择的N2,若不是,拒绝访问;若是,则确认解密ET5后获得的IDUser是否是请求访
问的User的身份标识,若不是,拒绝访问;若是,记录当前时刻TC,从TC到(TC+TV)这段时
间即为User的访问有效期,用户只能在此有效期内访问网络数据,DAE根据 ACLUser判断
User的访问请求QUser是否合法,若不合法,拒绝访问;若合法,生成应答数据RDAE,连同N3利
用KDAE,User计算ET6=E(KDAE,User,N3‖RDAE),计算 MIC4=HMAC(KDAE,User,ET6),构造访问
响应消息ET6‖MIC4发送给User;
g) User收到访问响应消息后,首先根据 MIC4判断消息完整性,若不完整,丢弃该消息;若完整,
利用KDAE,User解密ET6,判断解密得到的N3是否是 User选择的N3,若不是,丢弃该消息;若
是,User保存应答数据RDAE,后续User与DAE之间的访问请求和应答数据均利用KDAE,User加以保护。
6.3 基于访问控制列表的访问控制机制
基于访问控制列表的访问控制机制适用于网络对各类用户的访问控制,该机制见ISO/IEC 29180:2012,交互过程见图5。
P,表示用户鉴别成功;如果网关中的实体收到的PASS票小于阈值P,表示鉴别失败,终
止该用户的访问;其中阈值P 由网络所有者定义,可以是一个PASS票数的固定值,也可
以是一个PASS票的比例值等;
2) 鉴别成功后,在用户访问网络的过程中,当前临时访问控制网关中的实体将根据用户的
运动方向、运动速度等对用户将要到达的位置进行测算,并由测算得到的用户将要到达
的位置为中心的所有单跳区域内的所有实体构成下一个临时访问控制网关。当前临时
访问控制网关中的实体在t时间后将用户鉴别成功消息发送给下一个临时访问控制网关
中的实体,下一个临时访问控制网关将根据收到的用户鉴别成功的消息条数是否达到阈
值P 来判断该用户是否鉴别成功。若用户仍处于有效期VP内,且收到的用户鉴别成功
的消息条数大于或等于阈值P,则下一个临时访问控制网关将承认用户的合法性,并将
在时间t后将鉴别成功消息再次发送到下一个新......
|