(高清版)GB∕T 34953.4-2020 信息技术 安全技术 匿名实体鉴别 第4部分：基于弱秘密的机制

信息技术安全技术匿名实体鉴别第4部分：基于弱秘密的机制—(ISO/IEC20009-4:2017,国家市场监督管理总局国家标准化管理委员会GB/T34953.4—2020 I Ⅱ 1 1 1 34.1符号和缩略语 34.2转化原语 5 55.1参与者 55.2PAEA机制的种类 5 6 6 7 7 7 77基于辅助存储设施的PAEA机制 97.1概述 9 9附录A(规范性附录)对象标识符 I本部分为GB/T34953的第4部分。●用修改采用国际标准的GB/T36624Ⅱ1GB/T15852.2信息技术安全技术消息鉴别码第2部分：采用专用杂凑函数的机制GB/T34953.1信息技术安全技术匿名实体鉴别第1部分：总则(GB/T34953.1—2017,GB/T36624—2018信息技术安全技术可鉴别的加密机制(ISO/IEC19772:2009,MOD)ISO/IEC11770-4:2006信息技术安全技术密钥管理第4部分：基于弱秘密的机制(Infor-mationtechnology—Securitytechniques-满足对S中的所有元素a与b,有a*b=b*2对一个身份的描述。通常用来帮助对其所描述的身份对应的身份信息进行鉴满足以下性质的交换群(G,*):存在G中的元素g,对于每个G中的每个元素a,都存在整数i使得a=g²,g称为G的生成元。可区分标识符distinguishingi满足以下条件的集合S与定义在其上的对运算(十，*):a)对S中的任意元素a,b,c,有a*(b+c)=a*b+a*c;b)S与十操作构成一个单位元为0的交换群(3.1);c)S中除0元素以外的元素与*操作构成一个交换群。满足以下条件的集合S与定义在其上的运算*:a)对S中的任意元素a,b,c,有a*(b*c)=(a*b)*c;b)S中存在单位元e,对S中的任意元素a,有a*e=e*a=a;c)对S中的任意元素a,存在逆元素a-¹满足a*a-¹=a-¹*a=e。345EC2OSP——从椭圆曲线到字节串的转化原语，具体实现参见ISO/IE6统公开参数，PWF表示一个初始化为空的私有口令文件。PWF文件包含若干有序2元组<Iu,pvdu>,其中Iu表示用户U的可区分标识符，podu表示U的口令验证数据。每一个2元组对应群组中的一个成员。params将作为机制中其他操作的共通输入，为了简单起 生口令验证数据pvdu,然后将<Iu,pudy>加入到PWF文件中。令pwu以及来自服务器的口令文件PWF,两个实体互相进行身份鉴别(并且可选地协商出定的用户群组，但是不能获取到任何可以在后续过程中识鉴别双方都输出ACCEPT时，匿名鉴别操作输出ACCEPT(并可选地输出会话——用户撤销：给定用户身份Iu,与口令文件PWF,从PWF中移除<Iu,pvdu>,并对需要重5.4基于辅助存储的PAEA的构成一个基于辅助存储的PAEA机制由以下操作组成：——建立：给定安全参数secparam,产生元组<params,SeroK>,其中params表示公开的系统参数，ServK表示由服务器秘密保存的服务器密钥。par ——匿名鉴别：该操作是在用户和鉴别服务器之间执行的交互鉴别过程。给定口令包裹凭证credpu、口令pwu以及服务器的ServK,输出一个口令包裹凭证credp,,两个实7后的CRL,CRL表示未经更新的CRL,cred为credp中包含的原始凭证。CRL是的PAEA机制中，服务器需基于用户口令产生并保存口令验证数据。反之，在基于辅助存储设施的6仅采用口令的PAEA机制本章描述了一种仅采用口令的PAEA机制。本章中描述的PAEA机制的对象标识符定义见附给定安全参数secparam,本操作将创建或确立以下公开的系统参数：a)一个阶为q的素数阶循环群G,生成元为g,应满足：1)q的比特位数至少是secparam值的两倍；2)G的选取应使得在其上的离散对数问题的困难度(以比特度量)难于或者等于secparam;q;>q(1≤i≤t)(见ISO/IEC11770-4:2006中第5章),以减少当p不满足安全参数要为1(或当1不可行时为2),以减少为了检验从对端接受到的群元素的阶而产生的额外计b)如4.1所定义的阶检验函数Ocheck()、消息鉴别码算法MAC₂(MK,MESSAGE)、抗碰撞杂8b)对U中的每个用户U,(1≤j≤n)c)将<Is,(A,}i<<>发送给用户U₁。b)选取与用户U,相对应的(A,}ix≤中的第i项。b)使用随机数rs计算T=B's并恢复X′=X"/T'。e)设置Trans=IsIl{GF2OSP(A,)}iscⅡGF2OSP(X")IGF2OSP(B)IGE2OSP(Y)以及f)产生认证器Vs=MACa。(MK,1|Tb)计算K=Y²。c)设置Trans=SⅡ{GE2OSP(A₃)}ⅡGF2OSP(X)ⅡGF2OSP(B)IGF2OSP(Y)以及9f)产生认证器Vu=MAC(MK',2||Trans|GE2OSP(T)),并发送给服务器。——步骤5:当服务器收到消息<Vu>,执行以下操作：a)检验Vu=MAC₂(MK,2ⅡTransⅡGE2OSP(T))是否成立。如果不成立则终止协议并输出REJECT服务器S通过执行以下操作对用户U₁进行用户撤销：a)输入一个U,(1≤j≤n)中的可区分标识符Iu;b)输入服务器私密保管的口令文件PWF;7基于辅助存储设施的PAEA机制7.1概述本章描述了一种基于辅助存储设施的PAEA机制——YZW机制6。本章中描述的PAEA机制的对象标识符定义见附录A。7.2YZW机制在第7章中描述的机制需要乘法同态加密，HE(·)与HD。(·)分别表示以pk为公钥的加密函对于消息m∈Z。,加密实例HEn(m)操作如下：1)选择随机数r∈Z₀*,计算c₁=g³(modq),c₂=m·pk²=m·g'"(modg);与之对应的解密实例HD(C)进一步考虑两个密文C₁=(g,m₁·pk4),C₂=(g,m₂·pk⁵),——ENC(·)/DEC,_(·)分别表示使用由口令pw派生(即：通过使用口令pw与抗碰撞的d)符合密码相关国家标准和行业标准要求的抗碰撞杂凑函d)选择一个抗碰撞的杂凑函数H₂{0,1}'→{0,1}*以及一个MAC算法MACa:[0,1}¹×e)设置系统的公开参数params=<q,G₁,G₂ a)选择随机数k,s∈Z₄*,m'∈[0,2¹-1],其中1为ENCp()密钥流的位长度，且2¹-1远大于q,然后计算m=m'(modq),M=(a"b'd)/a+x);—口令包裹凭证credp=<elem₁,elem₂,elem₃,elem₄>=<M,ENC(m'),k,HE(s)>以ACCEPT(可选地输出会话密钥SK)或者REJECT。a)计算m²=DECp(elem₂),m=m'(modg),其中DECp(·)为ENC_(·)的逆函数。b)选择随机数r∈Z;并计算s·=HE(r)·elem₄=HE(r·s)。c)选择随机数x₁∈Z;并计算X=g²¹。d)选择随机数Nu∈{0,1}'并计算Nv*=HEa(Nv)。3)选择随机数α,μ∈Z;;4)计算T₁=M·go"和T₂=gi"·5)选择随机数rm,ra,ry,r。rp,r,∈Z;6)计算R₁=e(T₁,h)-·e(a,h)·B,x·e(g。,W)°·e(g₀,h)?f)发送<s',X,Nv',<T₁,T₂,R₁,R₂>>到服务器以初始化协议。a)计算s'=HD.(s*);b)计算B=b,在步骤4中会使用该值；d)计算Nu⁷=HD。(Nu*);e)选择随机数Ns∈Z;;f)计算Vs=MACav(Nv',NsIlGE2OSP(Y)IGE2OSP(X)||GE2O|IGE2OSP(T₂)||Gg)将<Ns,Y,Vs>发送给a)验证Vs,如果不合法则输出REJECT并终止协议；c)将<smsy+8A,5a,8,+sg>发送回服务器；e)输出ACCEPT(可选地输出SK)。2)检验c)输出ACCEPT(可选地输出SK)。用动态累加器技术很容易实现整数撤销，在第7章中给出了基本的思想。一个动态累加器允许包含很多值的大集合被累加到一个单一累加值中，的动态累加器来扩展YZW机制以解决用户撤销问题的基本思想如下：将所有凭证的k个值累加到累加值中(用户的凭证为<M,m,k,s>),每个用户在注册完成后都会被颁发一个证据，而k和证据都不需被口令包裹凭证保护(即：以明文形式存在)。在用户撤销中的证据更新以及新用户注册遵循在参k值被包含在当前的累加值中。器中的公共参数，n为注册用户的总数。相应地，将证据wits连同凭证<M,m,用户应谨慎地保管由口令保护的凭证中的wit,。特别是，由于witg,k组成了一个可验证对，即a)选择随机数5,ξ∈Z;。b)计算T′₁=wit,·goF以及T'₂=g₁⁸·go⁸。c)选择随机数rgr,r:∈Z;。d)计算R′₁=e(T₁,h)-·e(g₀,Wa)·e(g₀,h)'9,R'z=g₁·go⁷(注意原始匿名鉴别操作中的r.在此处被重复使用)。用户获得服务器挑战消息c∈Z;(即原始匿名鉴别操作中的Ns)a)s;=r;+c·5(modg),sg=rg+c·ξ(modq),s,=r,+服务器检验响应，若以下检验步骤都通过则输出Valid,否则输出Invalid(计算中使用了来自原始a)检验R'z·(T'₂)‘=g₁⁵5·go⁵是否成立；AnonymousEntityAuthenticatiso(1)standard(0)anonymous-entity-authentication(200-EXPORTSAll;---IMPORTSNone;-OID::=OBJECTIpassword-only-paea-mechanismsOID:={is20009-4passwostorage-extra-paea-mechanisms-Password-onlyPAEAmechanisms-ski-mechanismOID::={password-only-paea-mechyz-mechanismOID::={password-only-paea-mechanismsyz(2)}-Storage-extraPAEAyZw-mechanismOID::={storage-extra-paea-mechanisms