GB/T 15843.3-2016 信息技術 安全技術 實體鑒別 第3部分:采用數字簽名技術的機制6.2 五次傳遞鑒別TePA-A(由實體A發起)
6.2 五次傳遞鑒別TePA-A(由實體A發起)
在這種鑒別機制中,唯一性/時效性通過產生和檢查隨機數來控制(見GB/T 15843.1-2008的附錄B)。
鑒別機制如圖6所示。
Failure:當公鑰或實體X的證書不能被TP獲得,ResX( X = {A, B})應為Failure。
如果TP確認X(X = {A, B})的身份和公鑰PX的映射,則IX = X;否則IX = CertX,且X應等于CertX的可區分標識符字段值;如果X或CertX允許被用于作為一種身份,則應有一種預安排的方式允許TP區分這兩種類型的身份標識。ResX( X = {A, B})的值應按表1確定。
表1 ResX的值
| 域 | 選項1 | 選項2 |
|---|---|---|
| I |
X | CertX |
| ResX | (X |
本機制的執行過程如下:
(1) A發送隨機數RA、身份IA和可選文本字段Text1到B。
(2) B發送TokenBA和身份IB到A。
(3) A發送隨機數R’A、隨機數RB、身份IA、身份IB以及可選文本字段Text4到TP。
(4) 收到來自步驟(3)中A的消息后,TP執行下列步驟:如果IA = A,且IB = B,則TP提取PA和PB;如果IA = CertA,且IB = CertB,則TP檢查CertA和CertB的有效性。TP校驗證書有效性的過程可能需要防范拒絕服務攻擊。提供該保護機制的描述超出了本部分的范圍。
(5) TP發送可選文本字段Text7和TokenTA到A。TokenTA中的ResA和ResB應為A和B的證書及其狀態,或者是A和B的可區分標識符及其公鑰,或者是指示符Failure。
(6) 收到來自步驟(5)中TP的消息后,A執行下列步驟:
(i) 通過下列方式校驗TokenTA:驗證包含在TokenTA中TP的簽名,檢查步驟(3)中發送給TP的隨機數R’A與包含在TokenTA中的TP的簽名數據中的隨機數R’A是否一致。
(ii)從消息中提取B的公鑰,通過下列方式校驗在步驟(2)中收到的TokenBA:驗證包含在TokenBA中B的簽名檢查包含在TokenBA中的B的簽名數據中的標識符字段(A)與A的可區分標識符是否一致檢查包含在TokenBA中的隨機數RA與在步驟(1)中發送給B的隨機數RA是否一致。
(7) A發送TokenAB到B。
(8) 收到來自步驟(7)中A的消息后,B執行下列步驟:
(i) 通過下列方式校驗TokenTA:驗證包含在TokenTA中TP的簽名,檢查包含在TokenTA中TP的簽名數據中的隨機數RB與在步驟(2)中發送給A的隨機數RB是否一致。
(ii)從消息中提取A的公鑰,通過下列方式校驗TokenAB:驗證包含在TokenAB中A的簽名,檢查包含在TokenAB中的A的簽名數據中的標識符字段(B)與B的可區分標識符是否一致,檢查包含在TokenAB中A的簽名數據中的隨機數RB與在步驟(2)中發送給A的隨機數RB是否一致。
推薦文章: