《信息技術(shù)安全技術(shù)抗抵賴第2部分：采用對稱技術(shù)的機(jī)制》

GB/T17903.2—XXXX

信息技術(shù)安全技術(shù)抗抵賴第2部分：采用對稱技術(shù)的機(jī)制

1范圍

本部分規(guī)定了抗抵賴服務(wù)的通用結(jié)構(gòu)，以及一些特定的、與通信有關(guān)的抗抵賴機(jī)制，用于提供原發(fā)

抗抵賴（NRO）與交付抗抵賴（NRD）等。

本部分適用于信息系統(tǒng)中實(shí)現(xiàn)采用對稱技術(shù)的消息抗抵賴相關(guān)應(yīng)用的設(shè)計、實(shí)現(xiàn)與測試。抗抵賴服

務(wù)旨在生成、收集、維護(hù)、利用和驗(yàn)證有關(guān)已聲稱事件或動作的證據(jù)，以解決有關(guān)該事件或動作已發(fā)生

或未發(fā)生的爭議。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T15852（所有部分）信息技術(shù)安全技術(shù)消息鑒別碼

GB/T17903.1信息技術(shù)安全技術(shù)抗抵賴第1部分：概述

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T17903.1中定義的以及下列術(shù)語和定義適用于本文件。

3.1

密碼校驗(yàn)函數(shù)cryptographiccheckfunction

以秘密密鑰和任意字符串作為輸入，并以密碼校驗(yàn)值作為輸出的密碼變換。不知道秘密密鑰就不可

能正確計算校驗(yàn)值。

[GB/T25069-2010，定義2.2.2.101]

3.2

數(shù)據(jù)完整性dataintegrity

數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性。

[GB/T25069-2010，定義2.1.36]

3.3

證據(jù)生成者evidencegenerator

產(chǎn)生抗抵賴證據(jù)的實(shí)體。

[GB/T18794.4，定義3.4.4]

1

GB/T17903.2—XXXX

3.4

雜湊函數(shù)hashfunction

將比特串映射為固定長度的比特串的函數(shù)，該函數(shù)滿足下列兩特性：

——對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的；

——對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的。

注1：計算上的可行性取決于特定安全要求和環(huán)境。

注2：在本部分中，雜湊函數(shù)的輸出的比特串稱為雜湊碼。

[GB/T25069-2010，定義2.2.2.166]

3.5

密鑰key

一種用于控制密碼變換操作（例如加密、解密、密碼校驗(yàn)函數(shù)計算、簽名生成或簽名驗(yàn)證）的符號

序列。

[GB/T25069-2010，定義2.2.2.106]

3.6

消息鑒別碼算法MACalgorithm

一種帶密鑰的密碼算法，用于將比特串和秘密密鑰映射為定長比特串的函數(shù)，并滿足以下兩種性質(zhì)：

——對任意密鑰和任意輸入串，該函數(shù)都能有效進(jìn)行計算；

——對任一固定的密鑰，該密鑰在未知情況下，即便已知輸入串集合中的第i個輸入串和對應(yīng)的函

數(shù)值，且串集合中的第i個輸入串值在觀測前面的第i-1個函數(shù)值之后可能已經(jīng)選定，要算出

該函數(shù)對任意新輸入串的值在計算上是不可行的。

[GB/T25069-2010，定義2.2.2.201]

3.7

消息鑒別碼messageauthenticationcode

MAC

消息鑒別碼算法的輸出的比特串。

[GB/T25069-2010，定義2.2.2.200]

3.8

秘密密鑰secretkey

用于對稱密碼技術(shù)中的一種密鑰，并僅有一組規(guī)定實(shí)體所使用。

[GB/T25069-2010，定義2.2.2.90]

3.9

安全策略securitypolicy

用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護(hù)和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)

和實(shí)踐，特別是那些對系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。

2

GB/T17903.2—XXXX

[GB/T25069-2010，定義2.3.2]

3.10

時間戳time-stamp

包含通用時間源，描述某個時間點(diǎn)的時間變量參數(shù)。

3.11

時間戳機(jī)構(gòu)time-stampauthority

提供時間戳服務(wù)的可信第三方。

4縮略語

下列縮略語適用于本文件。

DA：交付機(jī)構(gòu)(DeliveryAuthority)

GNRT：通用抗抵賴權(quán)標(biāo)(GenericNon-RepudiationToken)

NRD：交付抗抵賴(Non-RepudiationofDelivery)

NRDT：交付抗抵賴權(quán)標(biāo)(Non-RepudiationofDeliveryToken)

NRO：原發(fā)抗抵賴(Non-RepudiationofOrigin)

NROT：原發(fā)抗抵賴權(quán)標(biāo)(Non-RepudiationofOriginToken)

Pol：抗抵賴策略(Non-Repudiationpolicy)

PON：肯定或否定，驗(yàn)證過程的結(jié)果(PositiveOrNegative)

SENV：安全信封(SecureENVelope)

TSA：可信時間戳機(jī)構(gòu)(trustedTimeStampAuthority)

TST：時間戳權(quán)標(biāo)(Time-StampingToken)

TTP：可信第三方(TrustedThirdParty)

5符號

GB/T17903.1中定義的以及下列符號適用于本部分：

a僅為實(shí)體A和可信第三方（TTP）所知的密鑰

b僅為實(shí)體B和可信第三方（TTP）所知的密鑰

da交付機(jī)構(gòu)（DA）的密鑰

MACX(y)使用實(shí)體X的私密密鑰對數(shù)據(jù)y計算得到的消息鑒別碼

ttp僅為TTP所知的密鑰，用于生成抗抵賴權(quán)標(biāo)

Pol應(yīng)用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符

SENV(.)用來計算安全信封的函數(shù)

TSATSA的可區(qū)分標(biāo)識符

TTPTTP的可區(qū)分標(biāo)識符

(y,z)y和z按順序的連接

z1由提供NRO權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段

z2由提供NRD權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段

3

GB/T17903.2—XXXX

6要求

本部分中，凡涉及密碼算法的相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實(shí)施；凡涉及到采用密碼技術(shù)解決保密性、

完整性、真實(shí)性、不可否認(rèn)性需求的須遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

本部分中規(guī)定的機(jī)制均應(yīng)滿足以下通用要求：

——使用抗抵賴機(jī)制的各相關(guān)實(shí)體應(yīng)能夠獨(dú)立與DA、TSA或TTP進(jìn)行通信；

——如果兩個實(shí)體使用本部分中規(guī)定的某個抗抵賴機(jī)制，雙方應(yīng)信任同一個第三方；

——在使用本部分規(guī)定的抗抵賴機(jī)制前，每個實(shí)體均應(yīng)與DA、TSA或TTP建立一個共享的對稱密鑰。

此外，每個DA、TSA或TTP實(shí)體均應(yīng)持有一個僅為自己所知的密鑰；

注：密鑰管理、密鑰生成及密鑰建立機(jī)制可參見GB/T17901.1等相關(guān)的國家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn)及ISO/IEC11770。

——抗抵賴服務(wù)中的所有實(shí)體應(yīng)共享一個公共函數(shù)Imp；

——為創(chuàng)建安全信封而選取的MAC函數(shù)應(yīng)為抗抵賴服務(wù)的所有參與者所持有；

——生成抗抵賴權(quán)標(biāo)的TTP應(yīng)能夠訪問時間和日期。

本部分規(guī)定的抗抵賴機(jī)制的強(qiáng)度依賴于所使用的密碼學(xué)機(jī)制和參數(shù)的安全級別和強(qiáng)度。

注：本部分不規(guī)定抗抵賴機(jī)制中數(shù)據(jù)項(xiàng)的具體傳輸機(jī)制，抗抵賴機(jī)制的使用者可根據(jù)業(yè)務(wù)的安全需求來選擇適當(dāng)?shù)?/p>

機(jī)制，以確保使用抗抵賴機(jī)制的各實(shí)體間可以對數(shù)據(jù)項(xiàng)進(jìn)行一致的解析。

7安全信封

共享一個秘密密鑰的兩個實(shí)體（該密鑰僅為這兩個實(shí)體所知）可以使用一種稱為安全信封（SENV）

的數(shù)據(jù)完整性校驗(yàn)方法來相互傳遞消息。SENV可以通過使用實(shí)體的秘密密鑰來產(chǎn)生，用于保護(hù)輸入數(shù)據(jù)

項(xiàng)。此外，SENV也可以由TTP使用僅為TTP持有的秘密密鑰來產(chǎn)生，用于生成和驗(yàn)證證據(jù)。

下面使用對稱的完整性技術(shù)來創(chuàng)建安全信封。實(shí)體X的秘密密鑰x用于計算密碼校驗(yàn)值MACX(y)，該

值附加在數(shù)據(jù)的后面，即：

SENVX(y)=(y,MACX(y))

其中MACX(y)應(yīng)為滿足GB/T15852要求的消息鑒別碼。

注：本部分規(guī)定的安全信封的強(qiáng)度依賴于所使用的密碼學(xué)機(jī)制和參數(shù)的安全級別和強(qiáng)度，抗抵賴機(jī)制的使用者可根

據(jù)業(yè)務(wù)的安全需求來選擇適當(dāng)?shù)臋C(jī)制，GB/T15852中給出了各種消息鑒別碼機(jī)制安全性的說明。

8抗抵賴權(quán)標(biāo)的生成與驗(yàn)證

8.1TTP創(chuàng)建權(quán)標(biāo)

在本章描述的抗抵賴機(jī)制中，TTP擔(dān)當(dāng)證據(jù)生成和證據(jù)驗(yàn)證機(jī)構(gòu)的角色。TTP可信賴地維護(hù)特定記錄

的完整性并直接參與解決爭議。

TTP頒發(fā)與消息m相應(yīng)的“權(quán)標(biāo)”。權(quán)標(biāo)包括一個安全信封，由TTP使用其秘密密鑰作用于該消息所

確定的數(shù)據(jù)而形成。因?yàn)槠渌鼘?shí)體都不知道秘密密鑰ttp，TTP是唯一可以創(chuàng)建或者驗(yàn)證權(quán)標(biāo)的實(shí)體。在

GB/T17903.1中，通用抗抵賴權(quán)標(biāo)（GNRT）定義如下：

GNRT=(text,SENVX(y))

在本場景中，即：

GNRT=(text,SENVTTP(y))

此外，在發(fā)布權(quán)標(biāo)之前，TTP應(yīng)檢查證據(jù)請求中的數(shù)據(jù)項(xiàng)。

注1：消息m可以是明文或密文。

4

GB/T17903.2—XXXX

注2：text為文本域，包括一些不需要密碼學(xué)保護(hù)但在計算完整性校驗(yàn)值MAC和安全信封SENV時要用到的，或用

于標(biāo)識消息和密鑰的附加數(shù)據(jù)（如消息標(biāo)識符或密鑰標(biāo)識符）。本信息依賴于所使用的技術(shù)。

8.2抗抵賴機(jī)制使用的數(shù)據(jù)項(xiàng)

8.2.1安全信封使用的數(shù)據(jù)項(xiàng)

在本部分描述的抗抵賴機(jī)制中，將對安全信封SENVX(z)=(z,MACX(z))進(jìn)行交換，下列數(shù)據(jù)字段構(gòu)

成了該安全信封的內(nèi)容：

z=(Pol,fI,A,B,C,D,E,TG,Ti,Q,Imp(m))

數(shù)據(jù)域z中包含的數(shù)據(jù)項(xiàng)定義如下：

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符

fi提供的抗抵賴服務(wù)的類型

A原發(fā)實(shí)體的可區(qū)分標(biāo)識符

B與原發(fā)實(shí)體進(jìn)行交互的實(shí)體的可區(qū)分標(biāo)識符

C證據(jù)生成者的可區(qū)分標(biāo)識符

D證據(jù)請求者的可區(qū)分標(biāo)識符，如果證據(jù)請求者與原發(fā)實(shí)體不同

E動作涉及到的其他實(shí)體的可區(qū)分標(biāo)識符

TG證據(jù)生成的日期與時間

Ti事件或動作發(fā)生的日期與時間

Q需要保護(hù)的可選數(shù)據(jù)

Imp(m)與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身

注：在本部分中，根據(jù)抗抵賴服務(wù)的不同，i的值為1（原發(fā)抗抵賴）或2（交付抗抵賴）.

8.2.2抗抵賴權(quán)標(biāo)使用的數(shù)據(jù)項(xiàng)

抗抵賴權(quán)標(biāo)包括一個文本域text與一個安全信封，定義如下：

抗抵賴權(quán)標(biāo)=(text,SENVTTP(z))

注：文本域包括一些不需要密碼學(xué)保護(hù)但在計算完整性校驗(yàn)值MAC和安全信封SENV時要用到的，或用于標(biāo)識消息和

密鑰的附加數(shù)據(jù)（如消息標(biāo)識符或密鑰標(biāo)識符）。本信息依賴于所使用的技術(shù)。

8.3抗抵賴權(quán)標(biāo)

8.3.1證據(jù)提供

證據(jù)通常由抗抵賴權(quán)標(biāo)提供，如果策略要求，也可以由附加權(quán)標(biāo)提供，例如：時間戳權(quán)標(biāo)（TST）、

或由另一個可信的第四方（如公證人）提供的對事件和動作以及消息的存在性給予附加保證的權(quán)標(biāo)等。

如果可信第三方可以獨(dú)自生成可信時間戳，則不需要增加TST作為證據(jù)。

注1：抗抵賴權(quán)標(biāo)（NROT、NRDT）中包含的時間可認(rèn)為是安全可靠的，因?yàn)樗怯煽尚艡C(jī)構(gòu)提供的。

注2：如果可信第三方（TTP、DA）不能提供可信時間戳，那么抗抵賴集合中就需要增加由可信時間戳機(jī)構(gòu)（TSA）

提供的TST以完成證據(jù)。

8.3.2原發(fā)抗抵賴權(quán)標(biāo)

原發(fā)抗抵賴權(quán)標(biāo)（NROT）由TTP應(yīng)原發(fā)者的請求而創(chuàng)建，其格式如下：

NROT=(text,z1,MACTTP(z1))，其中

z1=(Pol,f1,A,B,C,D,TG,T1,Q,Imp(m))

NROT所需信息z1中包含的數(shù)據(jù)項(xiàng)定義如下：

5

GB/T17903.2—XXXX

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符

f1原發(fā)抗抵賴服務(wù)的標(biāo)記

A原發(fā)者的可區(qū)分標(biāo)識符

B預(yù)定接收者的可區(qū)分標(biāo)識符

C生成證據(jù)的TTP的可區(qū)分標(biāo)識符

D觀察者的可區(qū)分標(biāo)識符，如果存在獨(dú)立觀察者

TG證據(jù)生成的日期與時間

T1消息原發(fā)的日期與時間

Q需要保護(hù)的可選數(shù)據(jù)

Imp(m)與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身

8.3.3交付抗抵賴權(quán)標(biāo)

交付抗抵賴權(quán)標(biāo)（NRDT）由TTP應(yīng)接收者的請求而創(chuàng)建，其格式如下：

NRDT=(text,z2,MACTTP(z2))，其中

z2=(Pol,f2,A,B,C,D,TG,T2,Q,Imp(m))

NRDT所需信息z2中包含的數(shù)據(jù)項(xiàng)定義如下：

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符

f2交付抗抵賴服務(wù)的標(biāo)記

A原發(fā)者的可區(qū)分標(biāo)識符

B接收者的可區(qū)分標(biāo)識符

CTTP的可區(qū)分標(biāo)識符

D觀察者的可區(qū)分標(biāo)識符，如果存在獨(dú)立觀察者

TG證據(jù)生成的日期與時間

T2消息交付的日期與時間

Q需要保護(hù)的可選數(shù)據(jù)

Imp(m)與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身

8.3.4時間戳權(quán)標(biāo)

時間戳權(quán)標(biāo)TST可由可信時間戳機(jī)構(gòu)（TSA）使用GB/T20520中的方法生成。

8.4TTP進(jìn)行的權(quán)標(biāo)驗(yàn)證

8.4.1驗(yàn)證過程

在抗抵賴交換過程的某個環(huán)節(jié)上，可能需要TTP對實(shí)體的權(quán)標(biāo)（如上定義所示）進(jìn)行驗(yàn)證。在交換

完成以后的某個時刻，也可能需要再次驗(yàn)證權(quán)標(biāo)，或者向第四方提供證據(jù)以證明其真實(shí)性。

驗(yàn)證過程不僅要檢驗(yàn)權(quán)標(biāo)是否由TTP創(chuàng)建，而且要檢驗(yàn)權(quán)標(biāo)是否與消息的數(shù)據(jù)字段確切相關(guān)。為了

驗(yàn)證權(quán)標(biāo)是否為給定的消息而創(chuàng)建，實(shí)體把由消息計算而得的Imp(m)與數(shù)據(jù)字段z中包括的Imp(m)進(jìn)行

比較，然后要求TTP對權(quán)標(biāo)及其數(shù)據(jù)字段進(jìn)行驗(yàn)證。

為了驗(yàn)證由對稱完整性技術(shù)生成的安全信封，應(yīng)進(jìn)行如下操作：使用實(shí)體X的相應(yīng)秘密密鑰x對安全

信封中包含的數(shù)據(jù)y重新計算密碼校驗(yàn)值MACX(y)，然后把結(jié)果與所提供的密碼校驗(yàn)值進(jìn)行比較。

TTP應(yīng)使用8.4.2與8.4.3中定義的兩種驗(yàn)證方法之一進(jìn)行驗(yàn)證。

8.4.2在線權(quán)標(biāo)驗(yàn)證

6

GB/T17903.2—XXXX

本方法中，TTP使用包含秘密密鑰ttp的安全模塊來驗(yàn)證權(quán)標(biāo)。安全模塊將該權(quán)標(biāo)與使用數(shù)據(jù)項(xiàng)zi

和秘密密鑰ttp在其內(nèi)部生成的值進(jìn)行比較，并返回比較結(jié)果，該結(jié)果決定了權(quán)標(biāo)是否有效。由于密鑰

ttp不為TTP之外的任何人所知，如果安全模塊返回的結(jié)果表明該權(quán)標(biāo)是有效的，那么所驗(yàn)證的權(quán)標(biāo)也可

以認(rèn)為是真實(shí)可信的。

8.4.3權(quán)標(biāo)表

本方法中，TTP發(fā)布的所有權(quán)標(biāo)儲存在一張表中。對每個已創(chuàng)建的權(quán)標(biāo)，TTP記錄下權(quán)標(biāo)和相關(guān)

的數(shù)據(jù)字段（zi）以及秘密密鑰ttp的密鑰標(biāo)識符。要驗(yàn)證一個權(quán)標(biāo)，TTP把該權(quán)標(biāo)作為索引在標(biāo)準(zhǔn)查

找。如果在表中能夠找到要驗(yàn)證的權(quán)標(biāo)，而且該權(quán)標(biāo)所帶的數(shù)據(jù)字段（即權(quán)標(biāo)的一部分）與表中對應(yīng)的

數(shù)據(jù)字段相符，則認(rèn)為該權(quán)標(biāo)是真實(shí)可信的。

9特定抗抵賴機(jī)制

9.1抗抵賴機(jī)制

本章規(guī)定的抗抵賴機(jī)制支持生成下列抗抵賴證據(jù)：原發(fā)抗抵賴（NRO）、交付抗抵賴（NRD）。另外，

本章定義了時間戳的生成機(jī)制。當(dāng)實(shí)體A想要向?qū)嶓wB發(fā)送消息，則實(shí)體A稱為抗抵賴傳輸?shù)脑l(fā)者，實(shí)

體B稱為接收者。本章規(guī)定的抗抵賴機(jī)制的實(shí)例可參見附錄A。

8章所描述的某些機(jī)制中，使用到了數(shù)據(jù)字段zi。這一數(shù)據(jù)字段除了不包含時間信息外與抗抵賴權(quán)

標(biāo)中的zi數(shù)據(jù)字段完全一致。時間信息由TTP（或DA）提供，或者由可信時間戳機(jī)構(gòu)應(yīng)TTP（或DA）的請

求而提供。

注：當(dāng)Imp(m)即消息m本身時，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗(yàn)證Imp(m)的步驟也可省略。

9.2原發(fā)抗抵賴機(jī)制

9.2.1步驟與機(jī)制

原發(fā)者創(chuàng)建了一條消息并發(fā)送給特定的接收者。接收者使用TTP來驗(yàn)證與之相關(guān)的原發(fā)抗抵賴權(quán)標(biāo)，

從而檢驗(yàn)該消息來源于其聲稱的發(fā)送者。

本機(jī)制包含三個步驟：第一步，原發(fā)者構(gòu)造數(shù)據(jù)并封裝入SENV發(fā)送給TTP。TTP生成原發(fā)抗抵賴權(quán)標(biāo)

（NROT）并返回給A；第二步，原發(fā)者A將NROT與消息m發(fā)送給接收者B；第三步，接收者把安全信封中封

裝的NROT發(fā)送給TTP進(jìn)行驗(yàn)證。原發(fā)抗抵賴在第三步建立。

9.2.2權(quán)標(biāo)生成

9.2.2.1步驟1—原發(fā)者A與TTP間

a)實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。

實(shí)體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗(yàn)證安全信封來自實(shí)體A。如果驗(yàn)證通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp

計算：

NROT=(text,z1,MACA(z1))

然后將SENVA（NROT）返回給A；

c)實(shí)體A驗(yàn)證SENVA（NROT）來自TTP，且其中的z1內(nèi)容與z1’相一致。

9.2.2.2步驟2—原發(fā)者A到接收者B

7

GB/T17903.2—XXXX

實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。

9.2.2.3步驟3—接收者B與TTP間

a)實(shí)體B執(zhí)行以下驗(yàn)證操作：校驗(yàn)z1中的策略Pol滿足其安全要求；校驗(yàn)z1中的f1標(biāo)示了原發(fā)

抗抵賴權(quán)標(biāo)；校驗(yàn)標(biāo)識符A,B,C有效；校驗(yàn)標(biāo)識符D為實(shí)際存在的獨(dú)立觀察者；校驗(yàn)時間TG

與T1的正確性；校驗(yàn)z1中Imp(m)值的正確性。

b)實(shí)體B使用密鑰b生成SENVB(NROT)并發(fā)送給TTP，要求驗(yàn)證來自A的NROT；

c)TTP驗(yàn)證SENVB(NROT)來自B，并驗(yàn)證NROT是真實(shí)可信的。如果SENVB(NROT)是有效的，TTP向

B發(fā)送SENVB((PON,NROT))，其中：如果NROT是真實(shí)可信的，PON為肯定，如果NROT不可信，

則PON為否定；

d)實(shí)體B檢驗(yàn)SENVB((PON,NROT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建立了

原發(fā)抗抵賴（即，消息來自A）；

e)儲存NROT以供將來原發(fā)抗抵賴使用。

9.2.3權(quán)標(biāo)驗(yàn)證

若證據(jù)使用者B在未來的某時刻需要再次驗(yàn)證NROT的真實(shí)可信性，則其可以單獨(dú)執(zhí)行9.2.2.3節(jié)中規(guī)

定的步驟3來完成驗(yàn)證。

9.3交付抗抵賴機(jī)制

9.3.1步驟與機(jī)制

本機(jī)制包含三個步驟：第一步，實(shí)體B在接收到消息m后，向TTP發(fā)送請求以要求生產(chǎn)交付抗抵賴權(quán)

標(biāo)，該請求封裝在安全信封中，TTP生成交付抗抵賴權(quán)標(biāo)（NRDT），并返回給接收者B；第二步，接收者

B將NRDT發(fā)送給原發(fā)者A；第三步，原發(fā)者將NRDT封裝在安全信封發(fā)送給TTP進(jìn)行驗(yàn)證。交付抗抵賴在第

三步建立。

9.3.2權(quán)標(biāo)生成

9.3.2.1步驟1—接收者B與TTP間

a)實(shí)體B使用密鑰b生成安全信封SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。

實(shí)體B把安全信封發(fā)送給TTP以請求NRDT；

b)TTP驗(yàn)證安全信封來自實(shí)體B。如果驗(yàn)證通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并使用密鑰ttp

計算：

NRDT=(text,z2,MACB(z2))

然后將SENVB（NRDT）返回給B；

c)實(shí)體B驗(yàn)證SENVB（NRDT）來自TTP，且其中的z2內(nèi)容與z2’相一致。

9.3.2.2步驟2—接收者B到原發(fā)者A

實(shí)體B向?qū)嶓wA發(fā)送：NRDT。

9.3.2.3步驟3—原發(fā)者A與TTP間

8

GB/T17903.2—XXXX

a)實(shí)體A執(zhí)行以下驗(yàn)證操作：校驗(yàn)z2中的策略Pol滿足其安全要求；校驗(yàn)z2中的f2標(biāo)示了交付

抗抵賴權(quán)標(biāo)；校驗(yàn)標(biāo)識符A,B,C有效；校驗(yàn)標(biāo)識符D為實(shí)際存在的獨(dú)立觀察者；校驗(yàn)時間TG

與T2的正確性；校驗(yàn)z2中Imp(m)值的正確性。

b)實(shí)體A使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗(yàn)證來自B的NRDT；

c)TTP驗(yàn)證SENVA(NRDT)來自A，并驗(yàn)證NRDT是真實(shí)可信的。如果SENVA(NRDT)是有效的，TTP向

A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實(shí)可信的，PON為肯定，如果NROT不可信，

則PON為否定；

d)實(shí)體A檢驗(yàn)SENVA((PON,NRDT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建立了

交付抗抵賴；

e)儲存NRDT以供將來交付抗抵賴使用。

9.3.3權(quán)標(biāo)驗(yàn)證

若證據(jù)使用者A在未來的某時刻需要再次驗(yàn)證NRDT的真實(shí)可信性，則其可以單獨(dú)執(zhí)行9.3.2.3節(jié)中規(guī)

定的步驟3來完成驗(yàn)證。

9.4獲取時間戳權(quán)標(biāo)的機(jī)制

當(dāng)可信時間源被請求且權(quán)標(biāo)生成方的時鐘無法被信任時，需要依賴于可信第三方的TSA來提供可信

時間戳。

實(shí)體X（請求者）與TSA之間獲取時間戳的通信可參見GB/T20520。

9

GB/T17903.2—XXXX

AA

附錄A

附錄B（資料性附錄）

附錄C抗抵賴機(jī)制實(shí)例

C.1原發(fā)抗抵賴與交付抗抵賴機(jī)制實(shí)例

本附錄所示的抗抵賴機(jī)制可在實(shí)體A和B之間提供原發(fā)抗抵賴和交付抗抵賴。實(shí)體A欲向?qū)嶓wB發(fā)送消

息，于是成為抗抵賴交換的原發(fā)者。作為消息的接收方，實(shí)體B就是接收者。在使用下列機(jī)制之前，假

設(shè)實(shí)體A和實(shí)體B分別持有密鑰a和b，TTP除了擁有自己的密鑰ttp以外，還持有密鑰a和b。

下面給出了使用在線TTP的三種不同的抗抵賴機(jī)制（M1、M2和M3）。

注1：通過在SENV消息中包含時間戳或序列號，可以防止未授權(quán)延遲或消息重放。通過在NROT和NRDT中包含時間

戳，可進(jìn)一步驗(yàn)證消息傳輸時的時間戳。

注2：當(dāng)Imp(m)即消息m本身時，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗(yàn)證Imp(m)的步驟也可省略。

C.2機(jī)制M1：強(qiáng)制NRO，可選NRD

C.2.1機(jī)制M1的步驟

機(jī)制M1見圖A.1，共包含5個步驟，在兩個實(shí)體與TTP之間通過3個步驟建立原發(fā)抗抵賴，如果繼續(xù)可

選的NRD步驟（根據(jù)接收者的決定），那么可通過再執(zhí)行2個步驟建立交付抗抵賴。

注1：盡管是否繼續(xù)進(jìn)行交付抗抵賴的步驟取決于接收者，但要注意，一旦建立了交付抗抵賴，這一可選的交付抗

抵賴就完全綁定了。

注2：本機(jī)制可以提供原發(fā)抗抵賴并可選地提供交付抗抵賴。該協(xié)議的用法（僅提供原發(fā)抗抵賴或同時提供原發(fā)抗

抵賴和交付抗抵賴）由發(fā)送者A、接收者B和TTP在具體協(xié)議執(zhí)行前商定。

C.2.2步驟1—原發(fā)者A與TTP間

a)實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。

實(shí)體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗(yàn)證安全信封來自實(shí)體A。如果驗(yàn)證通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp

計算：

NROT=(text,z1,MACTTP(z1))

然后將SENVA（NROT）返回給A；

c)實(shí)體A驗(yàn)證SENVA（NROT）來自TTP。

10

GB/T17903.2—XXXX

圖A.1機(jī)制M1

C.2.3步驟2—原發(fā)者A到接收者B

實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。

C.2.4步驟3—接收者B與TTP間

a)實(shí)體B驗(yàn)證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，

其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證

來自A的NROT并請求生成NRDT；

b)TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來自實(shí)體B。如果驗(yàn)證

通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計算：

NRDT=(text,z2,MACTTP(z2))

如果SENVB(NROT)與NROT均是真實(shí)可信的，則TTP使用密鑰ttp計算并向B發(fā)送

SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用

密鑰ttp計算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；

c)實(shí)體B檢驗(yàn)SENVB((PON,NROT,NRDT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建

立了原發(fā)抗抵賴（即，消息來自A）；

d)儲存NROT以供將來原發(fā)抗抵賴使用。

C.2.5步驟4—接收者B到原發(fā)者A

實(shí)體B向?qū)嶓wA發(fā)送：NRDT。

C.2.6步驟5—原發(fā)者A與TTP間

a)實(shí)體A校驗(yàn)z2中Imp(m)值的正確性。然后使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗(yàn)

證來自B的NRDT；

11

GB/T17903.2—XXXX

b)TTP驗(yàn)證SENVA(NRDT)來自A，并驗(yàn)證NRDT是真實(shí)可信的。如果SENVA(NRDT)是有效的，TTP向

A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實(shí)可信的，PON為肯定，如果NROT不可信，

則PON為否定；

c)實(shí)體A檢驗(yàn)SENVA((PON,NRDT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建立了

交付抗抵賴；

d)實(shí)體A儲存NRDT以供將來交付抗抵賴使用。

C.3機(jī)制M2：強(qiáng)制NRO，強(qiáng)制NRD

C.3.1機(jī)制M2的步驟

圖A.2機(jī)制M2

機(jī)制M2見圖A.2，在兩個實(shí)體與TTP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機(jī)制中，

TTP在向B發(fā)送消息收據(jù)的同時，直接通過SENV把它發(fā)送給A。

C.3.2步驟1—原發(fā)者A與TTP間

a)實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。

實(shí)體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗(yàn)證安全信封來自實(shí)體A。如果驗(yàn)證通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp

計算：

NROT=(text,z1,MACTTP(z1))

然后將SENVA（NROT）返回給A；

c)實(shí)體A驗(yàn)證SENVA（NROT）來自TTP。

C.3.3步驟2—原發(fā)者A到接收者B

實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。

12

GB/T17903.2—XXXX

C.3.4步驟3—接收者B與TTP間

a)實(shí)體B驗(yàn)證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，

其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證

來自A的NROT并請求生成NRDT；

b)TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來自實(shí)體B。如果驗(yàn)證

通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計算：

NRDT=(text,z2,MACTTP(z2))

如果SENVB(NROT)與NROT均是真實(shí)可信的，則TTP使用密鑰ttp計算并向B發(fā)送

SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用

密鑰ttp計算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；

c)實(shí)體B檢驗(yàn)SENVB((PON,NROT,NRDT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建

立了原發(fā)抗抵賴；

d)儲存NROT以供將來原發(fā)抗抵賴使用。

C.3.5步驟4—原發(fā)者A與TTP間

a)在步驟3中向B發(fā)送NRDT之后，TTP立即向A發(fā)送SENVA(NRDT)。

b)實(shí)體A檢驗(yàn)SENVA(NRDT)與NRDT；若檢驗(yàn)通過，則建立了交付抗抵賴（即，消息被B接收）；

c)實(shí)體A儲存NRDT以供將來交付抗抵賴使用。

C.4機(jī)制M3：帶有中介TTP的強(qiáng)制NRO和強(qiáng)制NRD

C.4.1機(jī)制M3的步驟

機(jī)制M3見圖A.3，在兩個實(shí)體與TTP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機(jī)制中，

TTP在原發(fā)者和接收者之間充當(dāng)了中間人的角色，兩個實(shí)體不再直接通信。為此，實(shí)體A發(fā)送消息給TTP

作為步驟1中的一部分，TTP將其傳遞給實(shí)體B作為步驟2的一部分。

在本機(jī)制中，TTP可選地生成并向原發(fā)實(shí)體發(fā)送提交抗抵賴與傳輸抗抵賴權(quán)標(biāo)。

C.4.2步驟1—原發(fā)者A與TTP間

a)實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。

實(shí)體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗(yàn)證安全信封來自實(shí)體A。如果驗(yàn)證通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp

計算：

NROT=(text,z1,MACTTP(z1))

然后將SENVA（NROT）返回給A；

c)實(shí)體A驗(yàn)證SENVA（NROT）來自TTP。

13

GB/T17903.2—XXXX

圖A.3機(jī)制M3

C.4.3步驟2—TTP到接收者B

TTP向?qū)嶓wB發(fā)送：(m,NROT)。

C.4.4步驟3—接收者B與TTP間

a)由于NROT不是以安全信封的方式收到的，因此實(shí)體B需要與TTP一起來驗(yàn)證NROT，所以B在

驗(yàn)證驗(yàn)證z1中Imp(m)值的正確性之后，使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，

其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證

來自A的NROT并請求生成NRDT；

b)TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來自實(shí)體B。如果驗(yàn)證

通過，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計算：

NRDT=(text,z2,MACTTP(z2))

如果SENVB(NROT)與NROT均是真實(shí)可信的，則TTP使用密鑰ttp計算并向B發(fā)送

SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用

密鑰ttp計算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；

c)實(shí)體B檢驗(yàn)SENVB((PON,NROT,NRDT))來自TTP；若檢驗(yàn)通過，并且驗(yàn)證結(jié)果PON為肯定，則建

立了原發(fā)抗抵賴；

d)儲存NROT以供將來原發(fā)抗抵賴使用。

C.4.5步驟4—原發(fā)者A與TTP間

a)在步驟3中向B發(fā)送NRDT之后，TTP立即向A發(fā)送SENVA(NRDT)。

b)實(shí)體A檢驗(yàn)SENVA(NRDT)與NRDT；若檢驗(yàn)通過，則建立了交付抗抵賴；

c)實(shí)體A儲存NRDT以供將來交付抗抵賴使用。

14

GB/T17903.2—XXXX

15

GB/T17903.2—XXXX

參?考?文?獻(xiàn)

[1]ISO7498-2:1989,Informationprocessingsystems—OpenSystemsInterconnection—

BasicReferenceModel—Part2:SecurityArchitecture

[2]ISO/IEC9797(allparts),Informationtechnology—Securitytechniques—Message

AuthenticationCodes(MACs)

[3]ISO/IEC10181-1:1996,Informationtechnology—OpenSystemsInterconnection—

Securityframeworksforopensystems:Overview

[4]ISO/IEC10181-4:1997,Informationtechnology—OpenSystemsInterconnection—

Securityframeworksforopensystems:Non-repudiationframework

[5]GB/T17901.1-1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架

[6]ISO/IEC11770-2:2008,Informationtechnology—Securitytechniques—Keymanagement

—Part2:Mechanismsusingsymmetrictechniques

[7]ISO/IEC11770-3:2008,Informationtechnology—Securitytechniques—Keymanagement

—Part3:Mechanismsusingasymmetrictechniques

[8]GB/T20520信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范

_________________________________

16

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T17903.2—XXXX

代替GB/T17903.2-2008

信息技術(shù)安全技術(shù)抗抵賴

第2部分：采用對稱技術(shù)的機(jī)制

Informationtechnology—Securitytechniques—Non-reputation—

Part2:Mechanismsusingsymmetrictechniques

(ISO/IEC13888-2:2010/Cor.1:2012,MOD)

（征求意見稿）

（本稿完成日期：2019年11月）

（在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)