GB/T 15843.2-20XX 英文版 信息安全技术 实体鉴别第2部分

GB/T 15843.2-20XX 英文版 信息安全技术 实体鉴别第 2 部分 采用可鉴别加密技术的机制 代替 GB/T 15843.2-2017 英文版 

Information security techniques - Entity authentication - Part 2: Mechanisms using authenticated encryption

前 言
本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》、GB/T 1.2
—2020《标准化工作导则 第 2 部分:以 ISO/IEC 标准化文件为基础的标准化文件起草规则》的规定起
草。
本文件是GB/T 15843《信息技术 安全技术 实体鉴别》的第2部分。GB/T 15843已经发布了以下
部分：
——第1部分：总则；
——第2部分：采用对称加密算法的机制；
——第3部分：采用数字签名技术的机制；
——第4部分：采用密码校验函数的机制；
——第5部分：使用零知识技术的机制；
——第6部分：采用人工数据传递的机制。
本文件代替GB/T 15843.2—2017《信息技术 安全技术 实体鉴别 第2部分:采用对称加密算法的
机制》。与GB/T 15843.2—2017相比，主要技术变化如下：
a) 更改了标准名称，由“信息技术 安全技术 实体鉴别 第2部分:采用对称加密算法的机制”，
改为“信息安全技术 实体鉴别 第2部分：采用可鉴别加密技术的机制”，与标准正文内容
以及国际标准ISO/IEC 9798-2:2019的名称保持一致；
b) 删掉了“范围”中关于时变参数、信息传递次数的说明，将其纳入第5章（见第5章，2017年版
的第1章）；
c) 用等同采用国际标准的GB/T 15843.1代替了ISO/IEC 9798-1；增加了规范性引用文件GB/T 
36624（见第2、3章，2017版的第2、3章）、GB/T 25069（见第2、3章）；
d) 增加了术语“验证方”（见3.4），更改了术语“可鉴别的加密”（见3.1,2017年版的3.1）、
“密文”（见3.2,2017年版的3.2）、“声称方”（见3.3,2017年版的3.3）、“时间戳”（见
3.5,2017年版的3.6）、“可信第三方”（见3.6,2017年版的3.7）的定义，删除了术语“消息
鉴别码”（见2017年版的3.4）、“消息鉴别码算法”（见2017年版的3.5）；
e) 增加了符号 “SIDim”（见第4章、第6章、第7章、第8章、附录A），删掉了“X‖Y”原有的“注”
（见2017年版的第4章）；
f) 增加了“总则”，将鉴别机制中与时变参数、信息传递次数等相关的说明内容纳入此部分，同
时补充了对附录的说明（见第5章，2017年版的第5章）；
g) 更改了“要求”中关于“对称加密”相关的说法，替换为“可鉴别的加密”（见第6章，2017
年版的第5章）；
h) 更改了关于“可信第三方”的描述，替换为“在线可信第三方”（见第7章、第8章，2017年版
的第6章、第7章）；
i) 更改了各类机制的代号，用英文缩写代替原有数字（见第7章、第8章、附录A、附录C，2017
年版的第6章、第7章、附录A、附录C）；
j) 更改了“对象标识符”（见附录A，2017年版的附录A），删掉了“符合ASN.1基本编码规则（BER）
的编码示例”（见2017年版的A.3）；
k) 增加了对“文本字段的使用”的相关说明（见附录B）；

引 言
GB/T 15843系列标准确定了6种实体鉴别机制，由6部分组成：
——第1部分：总则。目的在于指明实体鉴别机制中的鉴别模型和一般性约束要求,并基于此验证实
体身份真实性。
——第2部分：采用可鉴别加密技术的机制。目的在于规定采用可鉴别的加密技术实现实体鉴别的
机制。
——第3部分：采用数字签名技术的机制。目的在于规定采用数字签名技术的实体鉴别机制。
——第4部分：采用密码校验函数的机制。目的在于规定采用密码校验函数的实体鉴别机制。
——第5部分：使用零知识技术的机制。目的在于说明使用零知识技术的实体鉴别机制。
——第6部分：采用人工数据传递的机制。目的在于规定在设备之间基于人工数据传递进行实体鉴
别的机制。
GB/T 36624—2018《信息技术 安全技术 可鉴别的加密机制》修改采用ISO/IEC 19772:2009，规
定了五种可鉴别的加密机制。本文件基于GB/T 36624，修改采用ISO/IEC 9798-2:2019，规定了6种采用可鉴别的加密技术实现实体鉴别的机制，以指导基于可鉴别的加密实现的实体鉴别系统、产品或服务的建设和研发，为密码检测机构评估密码产品实体鉴别协议的合规性做依据。

1 范围
本文件规定了采用可鉴别的加密技术实现实体鉴别的机制。其中有四种是两个实体间无可信第三方
参与的鉴别机制，这四种机制中有两种是由一个实体针对另一个实体的单向鉴别，另两种是两个实体相互鉴别。其余的机制都要求有一个在线可信第三方参与，以便建立公共的秘密密钥，实现单向或相互的实体鉴别。附录A定义了本文件指定机制的对象标识符。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 15843.1—2017 信息技术 安全技术 实体鉴别 第1部分：总则（ISO/IEC 9798-1:2010，
IDT）
GB/T 25069—2022 信息安全技术 术语
GB/T 36624—2018 信息技术 安全技术 可鉴别的加密机制（ISO/IEC 19772:2009, MOD）
3 术语和定义
GB/T 15843.1—2017、GB/T 25069—2022、GB/T 36624—2018 界定的以及下列术语和定义适用于本文件。
3.1
可鉴别的加密 authenticated encryption
一种可逆的数据转換，利用密码算法产生数据对应的密文,非授权实体无法在不被发现的情况下对
该密文进行修改，同时提供了数据保密性、数据完整性与数据源鉴别。
[来源：GB/T 36624—2018,3.1]
3.2
密文 ciphertext
采用密码算法，经过变换将其信息内容隐藏起来的数据。
[来源：GB/T 25069—2022,3.388]
3.3
声称方 claimant
被鉴别的本体本身或者是代表本体的实体。
注：声称方拥有其代表本体从事鉴别交换时所必需的功能和私有数据。
[来源：GB/T 25069—2022,3.535]

4 符号
下列符号适用于本文件。

5 总则
GB/T 15843.2—20XX/ISO/IEC 9798-2:2019
本文件规定的鉴别机制中，待鉴别的实体通过表明它知道某秘密密钥来证实其身份。这可由该实体
用其秘密密钥加密特定数据达到，与其共享秘密密钥的任何实体都可以将加密后的数据解密。被解密的数据必须包含时变参数，时变参数可通过以下方式验证。
a) 如果时变参数是随机数，那么接收方应确保它与声称方发送的随机挑战是等同的，有关随机数
的产生以及使用，参见 GM/T 0078。
b) 如果时变参数是时间戳，那么接收方应能够验证时间戳的有效性，有关时间戳的使用以及验证，
参见 GB/T 15843.1—2017 的附录 B。
c) 如果时变参数是序号，那么接收方应能够将其与之前接收或存储的序号进行比较，以确保它不
是之前的重放，有关序号的使用以及验证，参见 GB/T 15843.1—2017 的附录 B。
本文件中规定的机制采用诸如随机数、时间戳、序号等时变参数，来防止先前有效的鉴别信息被再
次接受或被多次接受。
没有可信第三方参与时，采用时间戳或序号的方法，对于单向鉴别只需传递一次信息，而要实现相
互鉴别需传送两次信息；采用使用随机数的挑战-响应方法，对于单向鉴别需传递两次信息，而相互鉴别则需传递三次信息。有可信第三方参与时，则一个实体与可信第三方之间的任何一次附加通信都需要在通信交换中增加两次传递。
附录A定义了可用于标识本文件指定机制的对象标识符。附录B描述了文本字段使用的信息。附录C
描述了本文件指定实体鉴别机制的主要特性。
6 要求
本文件所规定的鉴别机制应满足下列所有要求。
a) 向验证方证实其身份的声称方，在应用第 7 章的机制时，应和该验证方共享一个秘密密钥，在
应用第 8 章的机制时，每个实体应和公共的可信第三方都分别共享一个秘密密钥。这些密钥应
当在启动鉴别机制之前就被相关方获知（具体如何实现不在本文件的范围），关于共享密钥的
管理，可参考 GB/T 17901.1 和 ISO/IEC 11770-2。
b) 如果涉及可信第三方，它应得到声称方与验证方的共同信任。
c) 声称方与验证方共享的秘密密钥，或实体与可信第三方共享的秘密密钥，应仅为这两方或双方
都信任的其他方获知。若为双方都信任的其他方获知，则被信任的其他方不应误用密钥，即不
应冒充双方之一来使用密钥。
注：在选择可鉴别的加密算法和确定密钥生存期时，应保证密钥在其生存期内就被推算出来在计算上是不可行的。此外，在选择密钥生存期时，还应防止已知明文和选择明文攻击。
d) 在机制中使用的令牌即使在已知旧令牌的情况下也不可被伪造，即在任何情况下旧令牌都不应
被部分或全部重用来构造新令牌。对于秘密密钥 K 的任何取值，可鉴别加密函数 eK以及与它
对应的可鉴别解密函数 dK应具有如下的属性：当解密过程 dK被应用到串 eK(X)时，它应能够使
得该串的接收方可以检测出数据是否被伪造或被篡改，即只有秘密密钥 K 的拥有者才能够通过
解密过程 dK产生可被“接受”的串。
注：在实际应用中，可以通过很多方法来保证这一点。相比于其他方法，采用可鉴别加密技术，可以方便地同时提供机密性和完整性保护。本文件规定的鉴别机制即采用可鉴别加密技术，参见GB/T 36624。
e) 本文件中的机制要求使用时变参数，例如时间戳、序号或随机数。这些参数的特性，尤其是它
们在秘密密钥的生命周期内极不可能重复的特性，对于这些机制的安全性是十分重要的。有关
时变参数的更多信息，参见 GB/T 15843.1—2017 的附录 B。
f) 用来执行本文件所定义的任一鉴别机制的秘密密钥应与被用于其它用途的密钥区分开来。

7 不涉及在线可信第三方的机制
7.1 概述
这些鉴别机制中，实体A和B在开始具体运行鉴别机制之前应共享一个公共的秘密密钥KAB，或者两个单向秘密密钥KAB和KBA。在后一种情况下，实体A总是使用单向密钥KAB进行加密，而实体B总是使用其进行解密(反过来，对于密钥KBA也是如此)。
以下机制中指定的所有文本字段在具体的鉴别应用中被赋予含义，有关这些应用的描述超出本文件
范围。这些文本字段也可以是空的，它们的关系与内容取决于具体的应用。有关文本字段的使用见附录B。
7.2 单向鉴别
7.2.1 概述
单向鉴别是指使用该机制时两实体中只有一方被鉴别。
7.2.2 机制 UNI.TS——单次传递鉴别
在这种鉴别机制中，声称方A发起流程，并由验证方B进行鉴别。通过生成和检查时间戳或序号（见
GB/T 15843.1—2017的附录B）来控制唯一性或时效性。

7.3 相互鉴别
7.3.1 概述
相互鉴别是指两个通信实体运用该机制彼此进行鉴别。
7.3.2和7.3.3分别采用7.2.2和7.2.3中描述的两种机制，以实现相互鉴别。这两种情况都要求增加
一次传送，从而增加了两个操作步骤。
7.3.2 机制 MUT.TS——两次传递鉴别
这种鉴别机制中，唯一性或时效性是通过产生并校验时间戳或序号（见GB/T 15843.1—2017的附录
B）来控制的。鉴别机制如图3所示。

8 涉及在线可信第三方的机制
8.1 概述
本章中所述的鉴别机制不是利用两个实体在鉴别过程前共享的秘密密钥，而是利用一个可信第三方
（用P表示），实体A和B分别与它共享秘密密钥KAP和KBP。每个机制中，先由一个实体向可信第三方申请密钥KAB，此后再分别采用7.3.2和7.3.3中描述的机制。
注：如果使用了单向密钥，那么自动满足第6章中的要求h）。但是，如果使用了双向密钥，这个要求可以通过机制本身之外的策略规则来约束。
按照下面的描述，如果只要求单向鉴别，则可省略每个机制中的某些传递。
以下机制中指定的所有文本字段在具体的鉴别应用中被赋予含义，有关这些应用的描述超出本文件
范围。它们的关系和内容取决于具体应用。有关文本字段使用的信息参见附录B。
8.2 机制 TP.TS——四次传递鉴别