| 标准编号 | GB/T 34953.4-2020 (GB/T34953.4-2020) | | 中文名称 | 信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制 | | 英文名称 | Information technology - Security techniques - Anonymous entity authentication - Part 4: Mechanisms based on weak secrets | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 18,145 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 引用标准 | GB/T 15852.2; GB/T 34953.1; GB/T 36624-2018; ISO/IEC 11770-4-2006 | | 采用标准 | ISO/IEC 20009-4-2017, MOD | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | GB/T 34953的本部分规定了基于弱秘密的匿名实体鉴别机制、每种机制的具体操作步骤以及详细的输入输出。本部分适用于服务器在无法获取可用来识别用户具体身份信息的情况下对用户进行校验,确认其属于特定用户群组的场景。 | GB/T 34953.4-2020
Information technology -- Security techniques -- Anonymous entity authentication -- Part 4: Mechanisms based on weak secrets
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 匿名实体鉴别
第4部分:基于弱秘密的机制
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号、缩略语和转化原语 3
4.1 符号和缩略语 3
4.2 转化原语 5
5 基于口令的匿名实体鉴别的通用模型 5
5.1 参与者 5
5.2 PAEA机制的种类 5
5.3 仅采用口令的PAEA的构成 6
5.4 基于辅助存储的PAEA的构成 6
5.5 PAEA操作 7
6 仅采用口令的PAEA机制 7
6.1 概述 7
6.2 YZ机制 7
7 基于辅助存储设施的PAEA机制 9
7.1 概述 9
7.2 YZW机制 9
附录A(规范性附录) 对象标识符 13
参考文献 14
前言
GB/T 34953《信息技术 安全技术 匿名实体鉴别》分为4个部分:
---第1部分:总则;
---第2部分:基于群组公钥签名的机制;
---第3部分:基于盲签名的机制;
---第4部分:基于弱秘密的机制。
本部分为GB/T 34953的第4部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用重新起草法修改采用ISO/IEC 20009-4:2017《信息技术 安全技术 匿名实体鉴别
第4部分:基于弱秘密的机制》。
本部分与ISO/IEC 20009-4:2017相比结构上有调整,调整6.3为6.2,其他条编号依次修改。
本部分与ISO/IEC 20009-4:2017的技术性差异及其原因如下:
---关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情
况集中反映在第2章“规范性引用文件”中,具体调整如下:
● 用修改采用国际标准的GB/T 15852.2代替ISO/IEC 9797-2,并规定使用的杂凑算法应遵
循相关国家标准和行业标准;
● 用等同采用国际标准的GB/T 34953.1代替ISO/IEC 29000-1;
● 用修改采用国际标准的GB/T 36624-2018代替ISO/IEC 19772:2009;
● 删除ISO/IEC 10118-3,ISO/IEC 10118-3规定了本部分机制使用的杂凑算法,并规定使用
的杂凑算法应遵循相关国家标准和行业标准;
● 删除ISO/IEC 18033-4,ISO/IEC 18033-4规定了本部分机制使用的序列密码算法,并规定
使用的序列密码算法应遵循相关国家标准和行业标准。
---增加了缩略语“MAC”和“PAEA”(见4.1)。
---删除了ISO/IEC 20009-4:2017中包含国际专利的6.2:SKI机制,以使本部分更好地适用于我
国当前的应用环境(见ISO/IEC 20009-4:2017的6.2)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位:中国科学院软件研究所、公安部第三研究所、北京数字认证股份有限公司、中国科
学院数据与通信保护研究教育中心、中国电子技术标准化研究院。
本部分主要起草人:张振峰、张立武、张严、冯登国、杨明慧、刘丽敏、王惠莅、陈景燕、江伟玉、杨糠。
引 言
自从计算机问世以来,通过输入用户标识和口令的方式进行用户身份鉴别得到了广泛的应用并且
一直是最为普遍的鉴别方式。每天都有数以亿计的口令鉴别在网络空间中发生。口令鉴别被广泛接纳
的原因之一在于不需要额外的辅助设施并且用户只需要记住口令即可在任意时间任意地点进行身份鉴
别的轻便性。ISO/IEC 11770-4:2016描述了基于口令(口令通常是弱秘密)的密钥管理方案。这些方
案可以被用来实现基于口令的实体鉴别。
同时,网络空间的个人隐私安全正受到被越来越多的关注。在网络空间中进行实体鉴别时对用户
隐私进行保护是个人隐私保护的关键步骤。GB/T 34953系列标准规范了实体鉴别隐私保护的技术,
用于支持匿名实体鉴别。本部分关注基于弱秘密的匿名实体鉴别机制。特别是,本部分描述了基于口
令的匿名实体鉴别(PAEA)机制,PAEA能够为口令鉴别过程提供隐私保护。
PAEA机制需要解决的主要问题是如果将口令等弱秘密直接应用于那些基于强秘密构造的匿名
鉴别机制,则会因口令的弱秘密性质泄露秘密,导致用户隐私无法受到保护。本部分描述了两种PAEA
机制:仅采用口令的PAEA和基于辅助存储设施的机制。在仅采用口令的PAEA机制中,用户在服务
器注册并记住其用于鉴别的口令数据,然后与在非匿名口令鉴别机制中一样地使用其口令进行鉴别。
在基于辅助存储设施的机制中,用户不仅要记住他们的口令,还要同时持有一个口令包裹,该口令包裹
可以暴露给敌手但是不会危害用户的隐私安全。同时用户口令的验证信息将不储存于服务器中。上述
两种机制在不同的应用场景下具有其各自的优势。
信息技术 安全技术 匿名实体鉴别
第4部分:基于弱秘密的机制
1 范围
GB/T 34953的本部分规定了基于弱秘密的匿名实体鉴别机制、每种机制的具体操作步骤以及详
细的输入输出。
本部分适用于服务器在无法获取可用来识别用户具体身份信息的情况下对用户进行校验,确认其
属于特定用户群组的场景。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15852.2 信息技术 安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制
(GB/T 15852.2-2012,ISO/IEC 9797-2:2002,MOD)
GB/T 34953.1 信息技术 安全技术 匿名实体鉴别 第1部分:总则(GB/T 34953.1-2017,
ISO 20009-1:2013,IDT)
GB/T 36624-2018 信息技术 安全技术 可鉴别的加密机制(ISO/IEC 19772:2009,MOD)
ISO/IEC 11770-4:2006 信息技术 安全技术 密钥管理 第4部分:基于弱秘密的机制
3 术语和定义
GB/T 34953.1界定的以及下列术语和定义适用于本文件。
3.1
交换群
满足对S中的所有元素a与b,有a*b=b*a的群 (S,*)。
3.2
可鉴别的加密
使用密码学算法对数据进行的(可逆)操作,使得生成的密文不能被非授权实体在不被探测到的情
况下修改,即:提供数据机密性、数据完整性与数据源鉴别。
5 基于口令的匿名实体鉴别的通用模型
5.1 参与者
基于口令的匿名实体鉴别机制的参与者包括鉴别服务器和从属于特定用户群组的用户。
注:用户群组中的用户可以是能够获得某种服务的用户或者是具有某种属性的用户,例如年龄大于18岁、男性、女
性等。
5.2 PAEA机制的种类
本部分定义了两种PAEA机制:仅采用口令和基于辅助存储设施的机制。在仅采用口令的PAEA
机制中,每个用户在鉴别服务器中注册一个口令,服务器保存该口令对应的口令验证数据;对于鉴别而
言,口令是用户唯一需要的长期秘密,相应地,口令验证数据是服务器唯一需要的长期秘密。在基于辅
助存储设施的PAEA机制中,每个用户在鉴别服务器注册口令,作为结果,用户获得一个口令包裹凭
证,但是服务器并不保存口令验证数据。用户需要一个存储设备来管理口令包裹凭证,但存储设备本身
不需要进一步的保护(即口令包裹凭证可放置于公开目录中)。在进行鉴别时,用户首先需要使用口令
从口令包裹凭证中恢复出鉴别凭证,之后使用恢复出的鉴别凭证在不透露其身份的情况下向服务器证
明其是特定用户群组中的一员。
5.3 仅采用口令的PAEA的构成
一个仅采用口令的PAEA机制由以下操作组成:
---建立:给定一个安全参数secparam,产生元组 < params,PWF=⊥ >,其中params表示系
统公开参数,PWF 表示一个初始化为空的私有口令文件。PWF 文件包含若干有序2元组
< IU,pvdU >,其中IU 表示用户U的可区分标识符,pvdU 表示U的口令验证数据。每一
个2元组对应群组中的一个成员。params将作为机制中其他操作的共通输入,为了简单起
见,本部分将在后续输入描述中省略params。
---用户注册:给定用户的可区分标识符IU 和口令pwU,以及来自服务器的口令文件PWF 。产
生口令验证数据pvdU,然后将 < IU,pvdU > 加入到PWF 文件中。
---匿名鉴别:该操作是在用户和鉴别服务器之间执行的交互鉴别过程。给定和用户U关联的口
令pwU 以及来自服务器的口令文件PWF,两个实体互相进行身份鉴别(并且可选地协商出
共通的会话密钥)。其中用户的身份鉴别为匿名地进行,即:服务器只能验证用户属于某个特
定的用户群组,但是不能获取到任何可以在后续过程中识别用户具体身份的信息。当且仅当
鉴别双方都输出ACCEPT时,匿名鉴别操作输出ACCEPT(并可选地输出会话密钥),否则,
输出REJECT。
---用户撤销:给定用户身份IU,与口令文件PWF,从PWF中移除< IU,pvdU >,并对需要重
新计算的预计算数值进行更新。
注1:对于任何仅采用口令的PAEA机制来说一个最基本的需求是正确性。即对于任意的 < IU,pvdU >,当且仅
当其属于PWF 时,鉴别操作接受U。
注2:匿名鉴别操作的描述中包括了双方的相互鉴别以及密钥交换。但是根据实际应用的需求,可以将鉴别操作限
定为只进行单向鉴别,比如用户单纯地鉴别服务器身份或者服务器单纯地鉴别用户从属于某一特定用户群
组,而不进行反向鉴别以及密钥交换。
5.4 基于辅助存储的PAEA的构成
一个基于辅助存储的PAEA机制由以下操作组成:
---建立:给定安全参数secparam,产生元组 < params,ServK >,其中params表示公开的系
统参数,ServK 表示由服务器秘密保存的服务器密钥。params将作为机制中其他操作的共
通输入,为了简单起见,本部分将在后续输入描述中省略params。
---用户注册:给定用户的可区分标识符IU 、口令pwU 以及服务器的密钥ServK,输出一个口令
包裹凭证credpwU 。credpwU 可以存储在任何用户可以访问到的地方,如:用户存储设备或者公开目录中。
---匿名鉴别:该操作是在用户和鉴别服务器之间执行的交互鉴别过程。给定口令包裹凭证
credpwU 、口令pwU 以及服务器的ServK,输出一个口令包裹凭证credpwU,两个实体互相进
行身份鉴别(并且可选地协商出共通的会话密钥)。其中用户的身份鉴别为匿名地进行,即:服
务器只能验证用户属于某个特定的用户群体但是不能获取到任何可以在后续过程中识别用户
具体身份的信息。当且仅当鉴别双方都输出ACCEPT时,匿名鉴别操作输出ACCEPT(并可
选地输出会话密钥),否则,输出REJECT。
---用户撤销:给定一个用户的可区分的标识符IU 以及口令包裹凭证credpwU,撤销IU 的鉴别凭
证,并且更新CRL(凭证撤销列表)以满足CRLnew=CRLold ∪{cred},其中CRLnew 表示更新
后的CRL,CRLold 表示未经更新的CRL,cred 为credpwU 中包含的原始凭证。CRL 是
params的一部分并且初始化为空。
注1:对于任何基于辅助存储的PAEA机制来说一个最基本的需求是正确性。即对于任意和同一用户相关联的元
组 < pwU,credpwU > 而言,当且仅当cred∉CRL 时,鉴别操作接受该用户。
注2:匿名鉴别操作的描述中包括了双方的相互鉴别以及密钥交换。但是根据实际应用的需求,可以将鉴别操作限
定为只进行单向鉴别,比如用户单纯地鉴别服务器身份或者服务器单纯地鉴别用户从属于某一特定用户群
组,而不进行反向鉴别以及密钥交换。
5.5 PAEA操作
鉴别服务器执行建立操作,服务器产生系统参数,若是基于辅助存储设施的PAEA机制,则服务器
还需产生一个服务器密钥。服务器将系统参数公开发布,而服务器密钥则由服务器私密保存。
当一个用户在系统中登记时,用户通过执行用户注册操作在服务器中注册其口令。在仅采用口令
的PAEA机制中,服务器需基于用户口令产生并保存口令验证数据。反之,在基于辅助存储设施的
PAEA机制中服务器不为自己产生任何数据,但是会为用户颁发一个口令包裹凭证,该口令包裹凭证
由用户口令保护的鉴别凭证产生。
用户和服务器通过执行匿名鉴别操作进行相互鉴别与密钥交换。
服务器可通过执行用户撤销操作撤销用户鉴别权限,在基于辅助存储设施的PAEA机制中表现为
撤销用户的鉴别凭证。
6 仅采用口令的PAEA机制
6.1 概述
本章描述了一种仅采用口令的PAEA机制。本章中描述的PAEA机制的对象标识符定义见附
录A。
注:YZ机制基于参考文献[5],参考文献[5]中同时给出了相关的安全分析。
6.2 YZ机制
6.2.1 建立
给定安全参数secparam,本操作将创建或确立以下公开的系统参数:
a) 一个阶为q的素数阶循环群G,生成元为g,应满足:
1) q的比特位数至少是secparam 值的两倍;
2) G的选取应使得在其上的离散对数问题的困难度(以比特度量)难于或者等于secparam;
3) 当g是有限域F(p)中的元素时,p作为安全素数应满足:(p-1)/q=2q1q2qt,其中
qi >q(1≤i≤t)(见ISO/IEC 11770-4:2006中第5章),以减少当p不满足安全参数要
求时,为了检验从对端接受到的群元素的阶或者在匿名鉴别操作中检验该元素的阶而产
生的额外计算开销;
4) 当g是一个椭圆曲线E(F p())中的椭圆曲线点时,E(F p())的辅因子,即:#E/q宜
为1(或当1不可行时为2),以减少为了检验从对端接受到的群元素的阶而产生的额外计
算开销。
b) 如4.1所定义的阶检验函数Ocheck()、消息鉴别码算法MACλ(MK,MESSAGE)、抗碰撞杂
凑函数Hλ()和Hg()、可鉴别的加密算法的加解密操作AEK()和ADK()。
注:ISO/IEC 15946-1包含了在椭圆曲线中生成循环群以及其生成元的推荐操作,使得在大多数情况下,素数域之
上的椭圆曲线 #E/q为1,在二元扩展域上的 #E/q为2。
6.2.2 用户......
|