实体鉴别规范.doc

胜利石油管理局企业标准 Q/SL TEC-p－2002 胜利油田实体鉴别规范 1 范围 本规范规定了胜利石油管理局实体鉴别的标准。 本规范适用于胜利油田（企业内部）实体鉴别所采用的实体鉴别机制及一般要求限制。 2 规范解释权 本规范由胜利油田石油管理局信息中心解释。 3 术语定义 3.1 鉴别(Authentication) 鉴别是以交换信息的方式来确认实体身份的一种安全机制。其目的是防止其它实体占用和独立操作实体的身份。我们称这类威胁为假冒，它是指某一实体伪称另一实体。假冒通常与其它攻击方式（如修改）一起使用。鉴别机制可用来对抗假冒，但并不是所有鉴别方式都与假冒方式相对应。 3.2 声称者(Claimant) 为了鉴别的目的，他是本体本身或者是代表本体的实体。一个声称者包括代表本体从事鉴别交换所必需的功能。 3.3 本体(Principal) 其身份能被鉴别的实体。 3.4 验证者(Verifier) 要求鉴别声称者身份的一个实体本身或是代表它的实体。验证者包含从事鉴别交换所必需的功能。 3.5 实体鉴别( Entity Authentication) 证实一个实体就是所声称的实体。 3.6 随机数(Random number) 其值不可预测的时变参数。 3.7 顺序号(Sequence number) 其值取自一个在一定时期内不重复的规定顺序的时变参数。 3.8 时间标记(Time stamp) 表示相对于一个公共时间基准的时间点的时变参数。 4 鉴别的原理 鉴别基于以下四种原理： 已知的，如一个秘密的口令； 所拥有的，如IC卡； 不可改变的特性，如用肉眼可以观察到的特性； 可信的第三方，它已建立了鉴别。 综合使用这些原理的实体鉴别方法，就可以确定涉及的各方、使用的原理以及要鉴别的实体。 5 对称和不对称鉴别法和一般鉴别法 5.1 对称和不对称鉴别方法 对远程主方鉴别，经常以口令或密钥方式进行。鉴别涉及对方是否知道口令或密钥而定。这种方法一般分两大类： 1)对称类，双方共用鉴别信息。对称鉴别法又分为： 直接揭开秘密（如口令）； 秘密是暗藏的（如，使用对称密钥技术给口令加密）。 2)不对称类，双方并非共用所有鉴别信息。不对称鉴别法也分为两类： 当证书可以通过验证鉴别信息是伪造时； 当证书不能验证鉴别信息是伪造时。此时还可分为验证的鉴别信息为一组主方所知（如，零知识技术）以及验证的鉴别信息只为某一特定主方所知（如，不对称密钥技术）。 5.2 一般的鉴别方法 5.2.1 鉴别信息 鉴别信息包括： 交换鉴别数据：在鉴别过程中，由声称者转交验证者的数据称为声称者—验证者交换鉴别数据或凭证中建立了声称者—验证者交换鉴别数据。在鉴别过程中，由验证者转交声称者的数据称为验证者—声称者交换鉴别数据。 鉴别标记：鉴别标记是一种特殊形式的凭证，是一种数据证书，可以用于确保已由鉴别机构保证的访问实体的身份。防伪的保证可由密码校验提供。鉴别标志可由下面几部分组成： 产生密码校验和的方法； 发布鉴别象征的鉴别机构和代理人身份； 该方的身份； 当使用数据源鉴别时，该数据的数字指纹； 口令或一个特有的数字； 鉴别标志的产生时间； 鉴别象征的有效期； 适用于鉴别标志的安全策略； 获得这种鉴别象征的鉴别方法； 机构参考号； 其它数据。 应用标准时应规定：哪些参数是必须使用的，哪些是可选的。 5.2.2 服务 服务作为鉴别过程的一部分，它包括： 安装鉴别信息； 鉴别； 更换鉴别信息； 终端鉴别； 鉴别恢复； 检验凭证。 5.2.3 管理 实体鉴别管理可包括要进行鉴别的实体分发描述性信息、口令或密钥。也可能涉及通信实体间以及其他提供鉴别服务的实体间的协议的使用。 6 实体鉴别机制的分类 鉴别是根据它们所对抗的威胁分类的，某些机制只适用于两方鉴别，某些只适用于多方鉴别，而有些则两种都适用。 鉴别机制有三大类型。 6.1 0类（无保护） 0类机制中，声称者鉴别信息作为声称者—验证者与鉴别信息一道被发送。典型的例子是发送口令，0类机制是一种对称鉴别。这类鉴别易受多种威胁的攻击，其中包括鉴别信息的暴露和重放攻击。 它适用于数据源点鉴别和一方对另一方鉴别。 6.2 1类（抗暴露保护） 这类机制能对抗鉴别信息的暴露。可用于数据源点鉴别和一方对一方鉴别。下面介绍两种机制： 可选域加密机制：它能保证鉴别信息的机密性。声称者鉴别信息在传送时用函数（F）加密，并在作出鉴别决定前解密。 这类机制适用数据源点鉴别和一方对一方鉴别。它易受重放攻击，但是，不易受鉴别信息暴露的攻击。 单向函数机制：在单向函数机制中，声称者鉴别信息在一个单向函数下与鉴别信息一起转换。实际声称者鉴别信息并不在通信信道上传输。如，发射一