搜索结果: GB/T 34953.2-2018, GB/T34953.2-2018, GBT 34953.2-2018, GBT34953.2-2018
| 标准编号 | GB/T 34953.2-2018 (GB/T34953.2-2018) | | 中文名称 | 信息技术 安全技术 匿名实体鉴别 第2部分:基于群组公钥签名的机制 | | 英文名称 | Information technology -- Security techniques -- Anonymous entity authentication -- Part 2: Mechanisms based on signatures using a group public key | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 46,435 | | 发布日期 | 2018-09-17 | | 实施日期 | 2019-04-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 34953.2-2018
Information technology - Security techniques - Anonymous entity authentication - Part 2: Mechanisms based on signatures using a group public key
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 匿名实体鉴别
第2部分:基于群组公钥签名的机制
(ISO/IEC 20009-2:2013,IDT)
2018-09-17发布
2019-04-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 3
5 模型和需求 4
6 密钥产生过程 4
7 无在线可信第三方参与的匿名鉴别机制 5
7.1 概述 5
7.2 单向匿名鉴别 6
7.3 双向匿名鉴别 7
7.4 单向匿名双向鉴别 10
7.5 带有绑定特性的双向匿名鉴别 12
7.6 带有绑定特性的单向匿名双向鉴别 17
8 有在线可信第三方参与的匿名鉴别机制 22
8.1 概述 22
8.2 单向匿名鉴别 22
8.3 双向匿名鉴别 25
8.4 单向匿名双向鉴别 28
9 群组成员打开过程 35
9.1 总则 35
9.2 证据评价过程 36
10 群组签名连接过程 36
10.1 总则 36
10.2 与打开方的连接过程 36
10.3 带有连接密钥的连接过程 37
10.4 带有连接库的连接过程 37
附录A(规范性附录) 对象标识符 38
附录B(资料性附录) 具有绑定属性的机制的信息 39
参考文献 40
前言
GB/T 34953《信息技术 安全技术 匿名实体鉴别》已发布或计划发布以下部分:
---第1部分:总则;
---第2部分:基于群组公钥签名的机制;
---第3部分:基于盲签名的机制;
---第4部分:基于弱秘密的机制。
本部分为GB/T 34953的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用翻译法等同采用ISO/IEC 20009-2:2013《信息技术 安全技术 匿名实体鉴别 第2
部分:基于群组公钥签名的机制》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 34953.1-2017 信息技术 安全技术 匿名实体鉴别 第1部分:总则(ISO/IEC
20009-1:2013,IDT)。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室、
WAPI产业联盟(中关村无线网络安全产业联盟)、国家密码管理局商用密码检测中心、重庆邮电大学、
国家无线电监测中心检测中心、中国电子技术标准化研究院、天津市无线电监测站、中国通用技术研究
院、北京大学深圳研究生院、中国科学院软件研究所、国家计算机网络应急技术处理协调中心、中国网络
空间研究院、国家信息技术安全研究中心、国家信息安全工程技术研究中心、中国人民解放军信息安全
测评认证中心、公安部第三研究所、北京计算机技术及应用研究所、福建省无线电监测站、北京数字认证
股份有限公司、中国电信股份有限公司上海研究院、工业和信息化部宽带无线IP标准工作组。
本部分主要起草人:杜志强、曹军、黄振海、李大为、宋起柱、李琴、龙昭华、冯登国、舒敏、陈晓桦、
李京春、葛培勤、郭晓雷、高波、朱跃生、李广森、顾健、李楠、于光明、张璐璐、铁满霞、张变玲、许玉娜、
胡亚楠、颜湘、张国强、童伟刚、李明、万洪涛、王月辉、郑骊、彭潇、朱正美、陈志宇、侯鹏亮、许福明。
引 言
GB/T 34593的本部分定义了基于群组公钥签名的匿名实体鉴别机制,分为有在线可信第三方参
与的鉴别机制和无在线可信第三方参与的鉴别机制两类。
本文件的发布机构提请注意,声明符合本文件时,可能涉及第8章与 ZL201010546339.3、
ZL200910023774.5、ZL200910023735.5等相关的专利的使用。
本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。
该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专
利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可通过以下联系方式获得:
专利持有人姓名:西安西电捷通无线网络通信股份有限公司
地址:西安市高新区科技二路68号西安软件园秦风阁A201
联系人:冯玉晨
邮政编码:710075
电子邮件:ipri@iwncomm.com
电话:029-87607836
传真:029-87607829
网址:http://www.iwncomm.com
本文件的发布机构提请注意,本文件等同采用ISO/IEC 20009-2:2013,因此,除上述声明外,韩国
电子通信研究院、英特尔公司针对ISO/IEC 20009-2:2013所作出的“专利持有人愿意基于无歧视、合理
条件和条款与其他方协商许可”的声明适用于本文件。相关信息可通过以下联系方式获得:
地址:161,Gajeong-dong,Yuseong-gu,Daejeon,305-700,KOREA
联系人:HanchulShin
电子邮件:vip123@etri.ke.kr
电话:+82-042-860-5797
传真:+82-042-860-3831
网址:http://www.etri.re.kr
专利持有人姓名:IntelCorporation
联系人:JamesKovacs
电子邮件:Standards.Licensing@intel.com
电话:408-765-1170
传真:408-613-7292
网址:http://www.intel.com/standards/licensing.html
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专
利的责任。
信息技术 安全技术 匿名实体鉴别
第2部分:基于群组公钥签名的机制
1 范围
GB/T 34953的本部分定义了基于群组公钥签名的匿名实体鉴别机制,验证方基于群组签名机制
验证对端身份的合法性且不需要获得对端的身份信息。
本部分规定了:
---基于群组公钥签名的匿名实体鉴别机制的通用描述;
---多种匿名鉴别机制。
本部分描述了:
---群组成员发布过程;
---无在线可信第三方参与的匿名实体鉴别机制;
---有在线可信第三方参与的匿名实体鉴别机制。
另外,本部分还规定了:
---群组成员身份打开的过程(可选);
---群组成员签名连接的过程(可选)。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 20008-1信息技术 安全技术 匿名签名服务 第 1 部分:总则 (Information
ISO/IEC 20008-2信息技术 安全技术 匿名签名服务 第2部分:采用群组公钥的机制(Infor-
ISO/IEC 20009-1信息技术 安全技术 匿名实体鉴别 第 1 部分:总则 (Information
3 术语和定义
ISO/IEC 20008-1、ISO/IEC 20009-1界定的以及下列术语和定义适用于本文件。
3.1
绑定属性 binding-property
在通信实体的消息间提供绑定保证的属性。
3.2
受信任的创建和颁发公钥证书的实体。
[ISO/IEC 11770-1:2010,定义2.3]
3.3
临时密钥对 ephemeralkeypair
由一个临时公钥和一个临时私钥构成的一个非对称密钥对,该临时公钥和临时私钥对一个加密方
案的每次执行过程均是惟一的。
3.4
由证书认证机构签发的群组的公钥信息。
3.5
被信任用于创建和分配群组公钥证书的实体。
3.6
该信息至少包含群组可区分标识符和群组公钥,而且也能包含关于群组公钥认证机构、群组、密钥
使用限制、有效期以及相关算法等其他静态信息。
3.7
以共享秘密和其他互相都知道的参数作为输入,输出用做密钥的一个或多个共享秘密的函数。
[ISO/IEC 11770-3:2015,定义3.22]
3.8
具备如下特征的连接能力,来源于相同匿名用户的两个或多个签名仅被特定的群组签名连接器通
过一个连接密钥连接,而其他实体则不能连接上述签名。
3.9
消息鉴别码算法输出的比特串。
[ISO/IEC 9797-1:2011,定义3.9]
3.10
一种算法,用于计算将比特串和秘密密钥映射为定长比特串的函数,并满足以下两种性质:
---对任意密钥和任意输入串,该函数能被有效计算;
---对任一固定的密钥,该密钥在未知情况下,即便已知输入串和对应函数值的集合(其中第i个
输入串的值可以在观察前i-1个函数值的值之后被选定),计算任何新输入串的函数值在计
算上也是不可行的。
[ISO/IEC 9797-1:2011,定义3.10]
3.11
公钥证书 publickeycertificate
由证书认证机构签发的实体的公钥信息。
[ISO/IEC 11770-1:2010,定义2.37]
3.12
公钥信息 publickeyinformation
该信息至少包含实体可区分标识符和公钥,而且也能包含关于认证管理机构、实体、密钥使用限制、
有效期以及相关算法等其他静态信息。
[ISO/IEC 11770-1:2010,定义2.38]
4 符号和缩略语
下列符号和缩略语适用于本文件。
A 实体A 的可区分标识符
B 实体B 的可区分标识符
CertA 实体A 的公钥证书
CertB 实体B 的公钥证书
CertG 群组G 的群组公钥证书
G,G' 群组G 或G'的可区分标识符
G q阶循环群,其中的判定性Diffie-Helman(DDH)问题是难解的
g G 的生成元
gsSXG(m) 实体X 使用群组公钥生成的匿名签名,该签名是实体X 应用了一种本部分规定的
群组签名机制、使用群组成员签名密钥SXG对待签名消息m 的签名
IG 群组G 的身份,可以用G 或CertG表示
IX 群组X 的身份,可以用X 或CertX表示
kdf 密钥导出函数
MAC 消息鉴别码
m 待签名消息
macK(M) 使用密钥K 和一个任意数据串M 的MAC 算法
NX 由实体X 颁发的序列号
PA 实体A 的公钥
PB 实体B 的公钥
PG 群组G 的群组公钥
q 素数
ResA 验证实体A 的公钥或公钥证书的结果
ResB 验证实体B 的公钥或公钥证书的结果
ResG 验证群组G 的群组公钥或群组公钥证书的结果
RX 实体X 产生的随机数
SXG 与实体X 关联的群组成员签名密钥,实体X 是群组G 的一个成员
sSX(m) 实体X 用其签名私钥对消息m 生成的数字签名
TP TTP 的可区分标识符
TTP 可信第三方
TX 实体X 颁发的时间戳
Zq [0,q-1]之间的整数集
‖ Y‖Z 用于表示数据项Y 和Z 以指定的顺序串联的结果。当两个或多个数据项的
串联结果作为一种本部分指定的机制的输入时,这个结果应能够被惟一的分解成
其构成时的数据项的一个组合,这样才不会导致存在含糊不清的解释的可能。后
面的这个属性根据具体的应用存在多种不同的实现方式。例如,它可以采用以下
两种方式:
a) 在整个机制的使用过程中固定每个数据项的长度;
b) 使用能够确保解码惟一性的串联数据项的序列编码方法,如ISO/IEC 8825-1
[1]中使用的区别性编码规则。
5 模型和需求
本章描述了匿名鉴别机制涉及的模型和需求。
一个基于群组公钥签名的实体鉴别机制通常包含一系列的群组成员。每个群组一定有一个群组成
员发布方。如果有必要通过打开在鉴别协议中产生的一个群组签名来揭露它的声称方,一个群组应有
一个群组的打开方。一个群组如果有必要连接同一声称方出于鉴别的目的产生的两个群组签名,也可
能要有一个连接方。这个机制的匿名强度取决于这个群组的群组成员数量,一个匿名的实体鉴别机制
被定义为如下规范流程:
---密钥的产生过程;
---匿名实体的鉴别过程;
---打开过程(如果机制支持打开);
---连接过程(如果机制支持连接)。
正如以下定义,本部分中使用到了各种各样的实体,有些实体在所有的机制中都会涉及,而其他一
些实体只在部分机制中才涉及。在本部分中,如果一个机制支持打开或者连接,则其使用的相关操作过
程所遵循的群组签名方案见ISO/IEC 20008-2。
---声称方(Claimant):一个在被鉴别时其身份不会被揭示的实体,在本部分中,一个声称方按
ISO/IEC 20008-2规定的群组签名方案充当一个签名方的角色;
注:在一些机制中,声称方的角色在多个实体之间分解。例如,直接匿名验证(DAA)机制就涉及一个具有有限计算
和存储能力的主要声称方,比如一个可信平台模块(TPM),以及一个具有更高计算能力但更低安全容错性的辅
助声称方,比如一个普通计算机平台(即内嵌TPM的主机)。
---验证方(Verifier):一个验证声称方身份正确性的实体,而其并不知道声称方的真实身份;
---发布方(Issuer):一个给声称方分发群组成员凭证的实体,该实体存在于ISO/IEC 20008-2规
定的所有机制中;
---打开方(Opener):一个能够确定使用在鉴别过程中产生的群组签名的声称方身份的实体,该
实体存在于ISO/IEC 20008-2规定的部分机制中。在某些机制,群组成员关系发布方、群组成
员打开方是相同的实体;
---连接方(Linker):一个能够判断用于鉴别的两个群组签名是否来源于同一个声称方的实体。
该实体存在于ISO/IEC 20008-2规定的部分机制中。在一些机制中,这个连接方也是验证方,
在一个匿名实体验证的机制中,这些连接方的数量是不固定的。
要求每个参与匿名实体鉴别机制的实体都知道一个公共的群组参数,这个参数用于该机制中的许
多函数的计算。
GB/T 34953的本部分规定的24种验证机制有如下预期用途。如果在线TTP不是必要的或是不
可用的,宜使用第7章的机制。在第7章的16种机制中,第1~第8种机制没有绑定属性,而第9~第
16种机制则具有绑定属性。如果需要使用在线TTP 参与的机制,则宜使用第8章中的机制。第7章
和第8章规定的机制都提供单向匿名鉴别、双向匿名鉴别和单向匿名双向鉴别,并根据不同的步数提供
多种选项。本部分所规定的各机制的对象标识符见附录A。
撤销过程用于撤销用户并且检查用户是否被撤销,这个过程的细节依赖于用于产生匿名鉴别的权
标(Token)的匿名数字签名方案。ISO/IEC 20008-1规定了撤销过程的一般模型,ISO/IEC 20008-2规
定了使用一个群组公钥的个人匿名签名方案的操作过程。
6 密钥产生过程
密钥产生过程包含生成群组成员分发密钥、群组成员打开密钥和在机制有要求时的群组签名连接
密钥(或多个密钥)的密钥产生算法。密钥产生算法的细节在本部分的范围之外。
密钥产生过程也包含了一个群组成员的发布过程,该群组成员发布过程在一个群组成员和一个发
布方之间操作,且涉及一个群组成员签名密钥的创建。
为了防止窃听者观察到群组成员的凭证以及确保群组成员凭证只提供给一个合法的群组成员,一
个群组成员(作为声称方)和一个发布方之间要求一个安全可靠的信道。本部分并没有规定群组发布方
如何验证一个群组成员。
密钥产生包括步骤a)和步骤b),如图1所示,详细步骤如下:
a) 群组成员发布方将群组发布密钥、群组公钥、群组公共参数以及可选的可区分标识符作为输
入。在这一步,一个群组成员发布方可以和一个群组成员交互操作;
b) 群组成员发布过程输出一个群组成员签名密钥。
图1 群组成员的发布过程
7 无在线可信第三方参与的匿名鉴别机制
7.1 概述
本章给出了无在线可信第三方参与的匿名实体鉴别机制。本章中规定的机制使用群组公钥证书或
者其他手段验证群组公钥的有效性。这些机制用于覆盖打开和连接过程的扩展分别在第9章和第10
章中规定。
指定的实体鉴别机制使用时变参数如时间戳,序列号或随机数(参见ISO/IEC 9798-1:2010[3]的
附录B)。
在本部分中,权标可采用如下形式:
Token=X1‖X2‖..Xj‖gsSXA(Y1‖Y2..‖Yj)。
在一个单向匿名双向鉴别机制中,一个数字签名sSX(Y1‖Y2..‖Yj)可被一个群组签名sSXG(Y1
‖Y2..‖Yj)代替。
在带有绑定特性的双向匿名鉴别机制和带有绑定特性的单向匿名双向鉴别机制中,MAC可另外
级联或者 MAC可取代群组签名sSXG(Y1‖Y2..‖Yj)。
在本部分中,“被签名消息”指的是被用作群组签名方案的输入的数据串Y1‖Y2..‖Yj。“消息”指
的是数据串X1‖X2‖..Xj。X1‖X2‖..Xj和Y1‖Y2..‖Yj的关键部分宜保持相同,其他部分因它
们采用的群组签名方案和特定的应用而可能有所不同。
如果包含在权标中被签名消息里的信息能够从群组签名中恢复,则它不必被包含在权标的信息中。
如果包含在权标中被签名消息里的文本部分不能够从群组签名中被恢复,则它应被包含在权标的
非签名信息中。
如果在权标中被签名消息的信息是由声称方发送到验证方,且验证方已经知晓这个信息(例如一个
随机数),则它不必包含在权标的信息中。
在本部分规定的机制中所规定的所有文本字段都是可以使用的,但具体如何使用不在本部分的规
定范围之内,这些文本字段之间的关系和内容取决于特定的应用。关于文本字段的使用相关的信息参
见ISO/IEC 9798-3[4]的附录A。
注1:第一个实体在其签名的数据块中包括它自己的随机数,可以减轻当该数据块已经被恶意的第二个实体所控制
时的、与数据块实体签名相关的安全问题。在这种情况下,随机数的不可预测性防止了完全预定义数据的
签名。
注2:群组公钥证书的分配超出了本部分的标准化范围,除了涉及第8章规定的在线可信第三方参与的鉴别机制
外,群公钥证书的发送在所有机制中都是可选的。
7.2描述了单向匿名鉴别机制,这种机制为一个实体提供对端实体的合法性确认,反之亦然。7.3
描述了双向匿名鉴别机制,这种机制为两个实体相互间提供合法性确认。7.4描述了单向匿名双向鉴
别机制,在一个方向上提供匿名实体鉴别,另一个方向上提供实体鉴别。
7.3和7.4中规定的三次传递鉴别协议和两次传递并行的鉴别协议可能会遭受到“误绑定”攻击(参
见参考文献[11]),当质询和权标信息没有被绑定到一起,将有可能出现一个实体去发送质询信息后而
在相同群组中的另外一个实体假冒前一个实体发送权标信息的情况。关于误绑定攻击以及绑定属性的
更多信息参见附录B。
为减弱误绑定攻击,7.5和7.6规定了八种具有绑定属性的用于两次传递和三次传递并行的鉴别协
议的机制。
7.2 单向匿名鉴别
7.2.1 总则
单向匿名鉴别是指两实体中只有一个实体(即声称方,群组G 中的实体A)被鉴别,而被鉴别实体
对于对端实体(即验证方B)是匿名的。
7.2.2 机制1---一次传递单向匿名鉴别
该机制由群组G 中的实体A 向实体B 发起鉴别协议。惟一性或时效性通过产生并检查时间戳或
序列号(参见ISO/IEC 9798-1:2010[3]的附录B)来控制。
该鉴别机制如图2所示,由实体A 发起,实体B 完成对实体A 的鉴别。
图2 一......
|