| 标准编号 | GB/T 21080-2007 (GB/T21080-2007) | | 中文名称 | 银行业务和相关金融服务 基于对称算法的签名鉴别 | | 英文名称 | Banking and related financial services -- Sign-on authentication based on symmetric algorithm | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 03.060 | | 字数估计 | 19,191 | | 发布日期 | 2007-09-05 | | 实施日期 | 2007-12-01 | | 采用标准 | ISO 11131-1992, IDT | | 标准依据 | 中国国家标准批准发布公告2007年第10号(总第110号) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准等同采用ISO 11131:1992《银行业务和相关金融服务 签名鉴别》, 本标准实现了确保已传输的鉴别信息的保密性和通过对鉴别信息的验证提供检测重放的方法, 规定了请求访问实体和授权允许访问实体之间的三种签名鉴别方式。 | GB/T 21080-2007
Banking and related financial services.Sign-on authentication based on symmetric algorithm
ICS 03.060
A11
中华人民共和国国家标准
GB/T 21080-2007/ISO 11131:1992
银行业务和相关金融服务
基于对称算法的签名鉴别
(ISO 11131:1992,Bankingandrelatedfinancialservices-
Sign-onauthentication,IDT)
2007-09-05发布
2007-12-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
4 签名鉴别 3
5 保护 6
6 互操作性的协议规范 6
附录A(资料性附录) 本标准的局限性 13
A.1 本标准提供的保护范围 13
A.2 对用户的警告 13
附录B(资料性附录) 本标准技术指标的局限性 14
GB/T 21080-2007/ISO 11131:1992
前言
本标准等同采用ISO 11131:1992《银行业务和相关金融服务 签名鉴别》(英文版)。
为便于使用,本标准做了下列编辑性修改:
a) 删除ISO 前言;
b) “本国际标准”一词改为“本标准”;
c) 根据目前计算机行业实际发展情况,增加了资料性附录B。
附录A和附录B均为资料性附录。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会归口。
本标准负责起草单位:中国金融电子化公司。
本标准参加起草单位:中国人民银行、中国银行、中国建设银行、中国光大银行、中国银联股份有限
公司、北京启明星辰公司。
本标准主要起草人:谭国安、杨、陆书春、李曙光、刘运、杜宁、刘志军、张艳、张德栋、戴宏、张晓东、
马云、李红建、王威、王沁、孙卫东、李春欢。
本标准为首次制定。
GB/T 21080-2007/ISO 11131:1992
引 言
金融机构正在逐渐通过使用电子通讯技术来为其客户提供更及时无误的服务,以满足个人客户的
需求。该技术不断加强客户直接访问(或登录)金融机构里计算机应用程序的能力。具体例子包括资金
转移和现金管理服务。
从历史上看,金融业普遍采用用户(用户识别名)个人标识符与秘密口令结合使用作为提供用户直
接访问服务供应商系统的标准方法。
然而,该口令系统的有效性存在着局限性。鉴别用户的口令能用多种方法破解,例如,它能被猜测
出,被窃听或公开地显示出来。假冒和重放也是两种可能的威胁:
---假冒是通过显示盗取的口令对实体进行模仿,假冒通常伴有其他攻击,例如数据篡改;
---重放是对近期已记录的有效交换的再次展现,用来产生非授权效果。
双方共享通用密钥的安全签名鉴别程序需要实现大量的条件,包括以下内容:
a) 保持鉴别系统中结点的硬件和软件的完整;
b) 保持请求者和授权人之间鉴别信息的完整,如:用户标识符的分配(用户名)、口令的选择、口
令的变更、中断访问的方法、对失败的签名尝试的审计;
c) 保持成功登录后整个会话期内鉴别的连续性;
d) 保持对失败登录尝试的审计能力;
e) 确保抵抗破解和误用的密钥管理系统的完整性;
f) 确保已传输的鉴别信息的保密性;
g) 通过对鉴别信息的验证提供检测重放的方法。
GB/T 21080-2007/ISO 11131:1992
银行业务和相关金融服务
基于对称算法的签名鉴别
1 范围
本标准实现了引言中的条件f)和条件g)。它规定了请求访问实体和授权允许访问实体之间的三
种签名鉴别方式:
a) 通过诸如口令的个人鉴别信息(PAI)对用户进行鉴别;
b) 通过用户唯一密钥对用户进行鉴别;
c) 通过节点唯一密钥对节点进行鉴别。
本标准使用对称(密钥)算法,在对称算法中请求方和授权方使用相同密钥。
第6章给出了一个满足本标准要求的协议实例,可在实例中获得互操作性。附录A描述了本标准
存在的一些局限性。附录B描述了本标准技术指标的一些局限性。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 15277-1994 信息处理 64bit分组密码算法的工作方式(eqv ISO 8372:1987)
ISO 8730:1990 银行业务 报文鉴别要求(批发)
ISO 8732:1988 银行业务 密钥管理(批发)
ISO 10126-1:1991 银行业务 报文加密程序(批发) 第1部分:一般原则
ISO 10126-2:1991 银行业务 报文加密程序(批发......
|