【国家标准(GB)】 信息技术 安全信息 实体鉴别 第5部分:使用零知识技术的机制

KCS 35.040
中华人民共和国国家标准
GB/T15843.5—2005/IS0/IEC 9798-5:1999信息技术
安全技术
实体鉴别
第5部分：使用零知识技术的机制Information technologySecurity techniquesEntity authentication-Part5:Mechanismsusingzero knowledgetechniques(IS0/TEC 9798-5:1999,IDT)
2005-04-19 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2005-10-01实施
GB/T15843.5—2005/IS0/1EC9798-5:1999GB/T15843信息技术安全技术实体鉴别》.山以下儿部分组成，第1部分：概述
第2部分：使用对称加密算法的机制第3部分：使用数签名技术的机制一第4部分：使用密码校验函数的机制第5部分：使用零知识技术的机制本部分为 CR/T 15843的第 5部分，等同采用国际标准ISO/IEC 9798-5:1999《信息技术安全技术实体鉴别第5分：使用零知识技术的机制（类文版）。本部分的附录附录B，附录，附录D.附录E和附录F是资料性附录本部分山中华人民共和国信意产业部提出；本部分出全国信息安全标推华技术委员会归口：本部分由中国电子技术标雅化研究所、倍息安全国家重点实验室起堂，本部分十要起草人陈星、罗盈、胡磊、叶顶锋、张振峰、黄家英。1范围
GB/T 15843.5—2005/IS0/IEC 9798-5:1999信息技术安全技术实体鉴别
第5部分：使用零知识技术的机制GB/1'15843的本部分详细说明了三种使用零知识技术的实休鉴别机制。所有在GB/T15843的本部分中闻述的机制都提供单向鉴别。这些机制应用零知识的原理所构造，但是根据附录A的严格定义，对所有参数的选择，这些机制本身并不是零知识的。第-种机制称为基于身份的机制。可信的认可机构为每一个声称者提供私有认可信息，该私有认可信息是作为声称若的标识数据和认可机构的私有密钥的函数计算出来的：第二种机制称为基于使用离散刘数的基丁证书的机制。每一个声称者都拥有-对用于此机制的公开密钥和私有密钥对。每一个声称者身份的验证者必须拥有该声称者公开验证密钥的可信拷贝；其获取的方法已经超出了本标准的范翻，们是它可以通过由可信第三方签名的证书的分发来获得。第种机制称为基于使用非对称加密系统的基于证书的机制。每个声称者都据有一对用于非对称加密系统的公开密钥和私有密对。每一个声称者身份的验证者必须拥有该称者公并验证密钥的可信拷贝；其获取的方法已经超出了本标准的范围，但是可以通过由可信第三方签名的证巧的分发来获得。
2规范性引用文件
下列义件中的条款通过GB/T1.5843的本部分的引用而成为本部分的条款，凡是注日期的引用文件，其随后所有的修改单（.不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励银据本部分达成协议的各方研究是查可使用这些文件的最新版本。凡是不注期的引用文件、其最新版本适用于本部分。
GB15851—1995信息技术安全技术带消息恢复的数字签名方案（idtISO/IFC9796：1991）GB/T15843.1一1999信息技术安全技术实体鉴别第1部分：概述(idtSO/[EC9798-1:1997)
GB/T18238所有部分）信息技术安全技术散列函数（idtISO/IEC10118）3术语和定义
GB/T15843.1—1909中确立的下列术语和定义适用于GB/T15843的本部分3.1
非对称密码技术asymmetrlc cryptographic technique3.2
非对称加密系统asymmetricenciphermentsystem3.3
非对称密钥对asymmetrickeypair3.4
询间challenge
声称者 claimant
GB/T 15843.5—2005/ISO/IEC 9798-5:19993.6
解密decipherment
可区分标识符distinguishing identifier3.8
加密encipherment
实体鉴别
entity authentication
私有密钥
公开密钥
private key
public key
公开验证密钥
public verification key
随机数
raodom number
权标token
trusted third party
可信第三方
单向鉴别
unilateral authentication
验证者verifier
下列术说在 GB/T 18238. 1中定义。3.18
散列菌数 hash-funetio
将比特串缺射到周定长度比特串的函数，它满足下列两条性质：为个给定的输出找到能映射到该输出的一个输人在计算上是不可行的：为-个给定的输人找到能映射到同一个输出的另一个输人在计算上是不可行的另外(G13/T5843 的本部分增加使用下列术语和定义。3.19
认可机构accreditation aulhorily实体群的所有成员所信任的实体，用于生成私有认可信息。3.20
认可多重性参数accreditationmultiplicityparameter一个正整数，它等于由认可桃构为个实体所提供的秘密认可信思项的数日。3.21
交换多重性参数exchangemultiplicityparameter个正整数，用以确定在一个鉴别机制的执行中应该进行多少次实体鉴别消息的交换。3.22
标识数据identification data
个数据项日序列。包括分配给某个实体的用于识别他的唯一标识符。注，可能包括在标拟数据中的数据项目包括帐号、有效期限、序列号等等。3.23
私有认可指数private accreditation exponentGB/T15843.5--2005/1S0/IEC9798-5:1999只有认可机构可知的数值，用于生成声称者的私有认可信息。这数值成该保密，此数值与公开认可验证指数相关，
私有认可信惠private accreditation information由认矿机构向声称者提供的私有信息，也是声称者随后证明的知识内容，由此确立声称者的身份。3.25
私有解密变换private decipherment transformation由非对称加密系统和非对称密钥对的私有密钥确定的解密变换。3.26
公开认可验证指数publicccreditutionverificatinnxponent一个实体群的所有成员致认同的指数，它与模数一起确定私有认可指数的值。3.27
公开加密变换publicenciphermenttransformation由非对称加密系统和非对称密钥对的公开密钥确定的加密变换。3.28
穴余身份redundantidentity
使用GB158511995 中所规定的技术，从一个实体的标识数据通过增加余而得到的数据项序列。
响应response
声称者发送给验证者的数据项日，借助于它验证者可以核查声称者的身份。3.30
证据witness
向验证者提供声称者身份证据的数据项。4符号与标记
GB/T15843.11999中描述的符号租标记适用于GB/T15843的本部分。A
实体A的唯一标识符。
实体B的唯标识符。
数据项 Y和Z按照颜序连接的结果。下述通用符号与标记要阳到：
散列函数
随机数
不大于的最大整数
如果i是一个整数而n是一个正数,那么mod表示唯一的整数；满足a) Ossjen,
b）是n的整数倍
在第5章基于身份机制-文中.要用到下列符号与标记：GB/T 15843.5-2005/IS0/IEC 9798-5:1999Ca,Cn，..Caa实体 A的私有认可信息。gcd
两个整数的最大公因子，也即：ged(α，b)表求同时为α的因子的最大正整数。IA,Ia2，,I实体A的标识数据。Ia是实体A的标识数据的第i部分。JalJa*.\JAm实体A的亢余身份。Ja是实体A亢余身份的第i部分。Rs
由模数n确定的一个整数，它决定了一个实体的余身份的最大比特长度。两个整数的最小公倍数，也即;lcm(，)表示α和b的公其倍数中的最小正整数。认可多重性参数。
模数，于素数力和的乘积。
用于计算模数的素数
用于计算模数的素数
交换多重性参数
认可机构的彩有认可指数
公开认而验证指数
姬果是个整数面π是一个正整数，那么madn表示非负整数j,它等于imodn和n-itulodn两个值中比较小的一个。如果i和i是两个整数并且n是一个正整数那么 i(mod*)且仅当i mod* n mod (α丨n）正整数 关于奇正整数的 Jacohi 符号注： 设 b为一个奇素数,月 a 为一个臣整数。d 关于p 的 Legendre 符号,记作(a [ p),定义为:(α p) = αt-1: mod p
当α不是的倍数时，a「)等于十1或者·］,它取决于α是否等于一个整数模 的平方。素数力的倍数关于户的 Leendre 符号为零。设n是一个奇的正整数满足n,其中利为素数，设a是一个正整数。那么a关于n的Jcobi符号.记作（a！n），定义为：(an) (α [p)(α /q)
在不知道n的素因子分解的情况下,Jaeohi符号(a|n)可以有效地计算,参看[6和[8]。在第6章举于离散对数机制的上下文巾，下列符号与标记被使册：g——止整数，它是离散对数的基。—用作模的素数。
———个素数,是一1的因数。
.…实体X的公开验证密钢
实体X的私有鉴别密钥
在第7章基于可信公开变换机制的上下文中，使用下列符号与标记：Px——实体X的公开加密变换：
S-实体X的私有解密变换。
5基于身份的机制
本章阐述广一个实体鉴别机制，它使用基于身份的机制。5.1具体的要求
为了在…个实体群中使用这个机制，应该采取下列步骤：a）每一个希望充当声称者或者验证者的实体必筑有产生随机数的方法，b）这个实体群应该指定一个认可机构。此认可机构应为这个群内所有成员所信任，以便保证其身份；
GH/115843.5--2005/1S0/1EC9798-5:1999c）需要选择一些参数，它们将决定该实体鉴别机制的操作。选取的参数应该以一种可信赖的方武让实体群的所有成员获知：
t）每-个希望在鉴别机谢啦充当声称者的实体必须以某种方式获得标识数据。在此上下文中标识数据是个长由步骤c)中所选择的--个参数限霆的比特串，依照约定的惯例对实体的标认是唯一的,有意义的;
e）每一个希塑在鉴别机制中充当声称者的实体应该由指定的认可机构签发秘有认可信息！f）如果选择使用散列函数机制的版本，群内所有实体必须对于专用散列函数的使用达成一致（比如在GB/I18238中猫述的某一个散列函数），5.2参数选择
参数应按下述方法进行选择：
a）公升认验证指数。暴些具有实际优势的值，例如2，3辆21十1=65537：b）模数，这个正整数应该由指定的认可机构选择。几的值等于两个素数利α的乘积，认可机构应该对P和的值保密。索数P和的选择方法应该使得任何实体在知道它们的乘积的情况下来推断它们是不前行的，这果的可行性是由鉴别机翻的使用上下文新定义。p和q的值应满是下列条件：
…如果是奇数，那么gcd(l.)=cd(ql.)=1—如果是偶数，那么gd—1/2,）gcd(q1/2,1且g不8的倍数。模的选取以下面的方式决定着另一个参数起，的值：k, =[log2(n)
换句话说，n的一进制表示应包含一1个比特n的选择也决定着认可机构的私有认可指数(记为)的值，以这样的方式：值u应设置为最小的正整数以使得+1是下述的倍数：lcm(—,q—1)若是奇数，
lrm(—I—1)/2 若 是偶数，
c）认可多重性参数m。这个正整数的选取应该与公开认可验证指数和交换多重性参数t的选择相结合，影响到方案的安全级别。(l）交换多重性参数1，这个正整数的选取应该与公开认可验证指数和认可多重性参数批的选择栉结合，它影响到方案的安全级别。注 1：附录 H中给出了这个机制的参数选择的指导。注2：当=2时这个机制就成为了FaitShamir方案.[3二。当>2m—1且为素数时，这个机制就为了Gutillnu Quisajuater方案，[5二。5.3身份选择
在这个机制中，每个希望充当声称者的实体必须被分配标识数据，它是由m个部分构成的序列：11a2.。标识数据的每部分最多包含8L（k，+3)/167个比特。实体鉴别机制将间验证者提供保证：该声称者确实是分配到这个标识数据的实体。注1：比如.这个标识数据序划可能这样构造：给实体分配--个唯一的识别比特串，然后依次把数字1,2．....，m的二进制表示附加到这个比特串的后面从而得到a1·「A2[4m的值，在这个方法中，数了1.23，、，..，m的二进制表示可以方便地表示戒有相同长度的形式，如果需要就加以前發0。注2：如果一个实体的标识数据部分超出「所允许的最大长度，那么可以运用散列函数去处理标识数据的部件以状得la1a2…，1.的值。散列函数的例了可以在GB/182.38中找到。注3：实体标识数据的过期可以遥过在标识数据中但含有效日期来实现。实体标识数锯的撒游可以通过在标识数据中包含序列导得到简化。
5.4认可产生
为了产生个实体八的私有认可信息·认可机构应该计算一列m个数字签名Cal：C，.CGE/T 15843.5—2005/ISO/IEC 9798-5:1999更明确地说，对每一个1≤m），C成按照下列程序进行计算，a）Ja：A的\穴余身份\的第i部分，它将使用ks指定的值，依据GB 15851一1995中签名过程的前四步（“填充’，扩展’，亢余\和“截断与实现\），从A的标识数据的第部分计算而来，从这个过程中得到的值，表示为IR，将按下述方法用于导出Jn。如果为奇数，那么Ja一IR。
一如果为偶数并且(IR」)一1,那么JIR,…-如果为偶数并且(Rn)m—1,那么J=IR/2b）Ca由J按照下列公式计算得到：Ca = (Jar)'mod'n
提供给实体A的私有认可信息等于计算的签名AiCA2CAm。对于每一个1(≤m),容易看出
(Ca:)\Jam l(ntod\n)
5.5鉴别交换
这个单向的鉴别机制泌及到声称者 A 和声称者B 之间的下列信息交换，它能够使 B 核查 A 的身份。为了机制的正确运行，需要向B提供A所声称的标识数据，可以把它附加在机制中交换的某一个信息之府，或者采用其他的方法。图1中说明了鉴别程序一个合的过程。图中括弧内的数字对应于下面详细描述的交换步骤。第·个权标(TokenAB,)是由声称者发送给验证者的，其格式为：TokenAB, =W
TokenAB,wh(WllText)
其中W 为证据,是散列函数,Iext为川选择的文本字段。这个文本字段(可能为空)对于 GB/T15843本部分的范之外的应用是可用的。参看GB/T15843.1一1999附录A中文本字段的使用信息。如果这个文本宁段是非空的那么 B 必须设法恢复出文本字段的值;这可能需要 Λ 随着 TokeILAB,起发送全部或者部分文本宁段（可参看下面的注1）。(2)TokenAB
(43 d..d2.*+.-d.
(6)Teken AB2
图1基于身份的机制
(3), (7)
GB/T15843.5—2005/ISO/1EC9798-5.1999声称者发送给验证者的第二个权标(TokenAB）的格式为：TokenAB:=D)
其中D为呐城，
对丁这个机制的每次应用，小述鉴别程序应该执行！次（这单1为交换多重性参数）。只有当程序的1次执行都成功地完成，验证者B才接受声称者A的有效身份：（1）拥有私有认可信息CA!，A2Cn的实体A选择-个随机数，使得为满足1≤≤n—1的数。这个整数由A保密。A此时按照下列公式计算证据W。W =r\mod'n
(2）A将TokcnA:发送给B。TokenAB应等于W或者h（W1Tex1)：(3）在收到TokenAB,之后，B选择一个随机整数序列didz，.d，其中每一个d,值应该在0到一1之间。这个整数序列就是询问。B发送询间di.d,d，给A。
(5）接收到淘问dd-\\\d之后，A按下列公式由（秘密的）值r和私有认可信息CaCs，C计算响应D
DrT(Camod\n
(6）A发送TokenAB.=D给B。
（7）收到响应刀之后，B执行下列计算程序：1）B检查D是香满足0-Dn/2，如果不是那么B拒绝A。2）B使用5.4步骤（a)所述的方法，根据A的标识数据「Al，lA2，，I计算出A的余身份JaJaJm e
3）B按照下面的公式计算W\的值：W*- D\Il(Ja)\mod *?
4）如架在程序的第一次交换中发送的是W.那么B核查他所计算的值W'等于在程序的第一次交换中发送的值，相应地，如果在程序的第次交换中发送的是（WText)，那么B首先计算h(W\Text).然后核查h（W\「Tcxt）是否等于在程序的第一次交换中发送的h（WⅡText)侦：如果核查成功，那么机制在这·-轮成功的。否则，B拒绝A。
注1：其他的信息可以随鉴别程序的任何轮的任何-次交换一起发送。特别需要说明的是，包含A的标识数据的信息可以和TokenR，起在1轮鉴别过程的第轮的曾次交换（步骤(2))中发送。这紫信息有助于B用来计算4的完余身份和/或可选文本学段的值。注2：A选择随机数一的过程要保证在认可信息的生命无期之内·这些选取的数值是独文的，这一点很重要。如果，例如，同一个值一使用两秋.那么第三方就可能推导出A的部分或所有的私有认可信息，并因此成功地實充A.
注3：美于4的亢余身份JmJaa***JA可以在任何阶段计算，也就是说，B不需要等待改到了响应之后才来计算Jaa，\*，。如果月便用这个机制频繁地验证A的身份，那么可以存败了a，Ja，\**\，」的值。
注1：这个程序的！个量合可以并行抗行·也就说，在第一以A可以选择了个随机数·…，，计算，个证据W,，W..W，.把他们同时发送给B，等等。如果采取“井行实现”无论！值为多少，消总交换的总数将等于3，
注5：在程序的第一次变换中使再hrWText)来代替W能够减少TokeraB，的比特数，从而提离效案。注6：建议在这个机制中使用的私在认可信息仅仅用于鉴别的耳的，而不要用了其他的应用（例如数字签名的产非）。如果没有遵循这个建设，邮么应该特别注意提防验证者利用声称者作为“签名谕示”，例如，这可以通过选取具有符殊的形式的询问而达到月的。GB/T 15843.5--2005/IS0/1EC 9798-5: 19996使用离散对数的基于证书的机制在本章中详细阐述了一个使用离散对数的实体鉴别机制。注：此机制称为 Sehnorr方案[93.6.1具体的要求
为了在一个实体群中使用这个机制，需要采用下列步骤：a）每个希充当声称者或者验证者的实体必须有产生随机数的方法。b）实体群中所有实体必须对三个正整数p、和g达成一致，整数p必须选取为个案数，同样也必须选取为一个素数并且是一1的因了。最后g 必须选取为在模意义下阶为 的元素，即&必须满足：
1) g' mul p=l
值和α的选择，应该使得给定任意的整数1群内所有实体必须对于专用散列函数的使用（例如在GB/T18238中描述的散列函数之一）达c
成一致。
d）每个希望究当声称者的实体必须配备一个非对称密钥对，其选取如下所述。e）每一个希望充当验证者的实体，必须有一种方法获得将要验证身份的实体的公开验证密钥的可信拷换。
注：为实体提供公开验证密钢的可佰拷贝的具体方法超出了本标准的范围。例如这些可以通过使用公钥证书或者其柜些依赖于环境的方法得到6.2密选择
在这个机中，每·个希望充当声称者的实体X必须配备一个非对称密钥对（，：）。其中(私有密钥）是一个整数-其选取应满足0=zx4相应的公开验证密钥应等丁g-mod。注：此机制的参数选择指导将在附录 B中给出。6.3监别交换
这个单向的鉴别机制涉及到声称者A和验证者B之间的下列信息交换，它能够使B核查A的身份。
图2说明了这个鉴别机制，图中带括孤的数字对应于下面详细描述的交换步骤(2)TusenAB:
(1), (5)
(3),(7)
(6)Tanken AB2
图2基于离散对数的机制
GB/T15843.5—2005/IS3/EC 9798-5:19$9声称者发送给验证者的第个权标（ToktAB,的格式为：TokenAB,-W
TokenAB: -h(W Il Text)
其中W为证据,是散列函数，Tcxt 为可选择的文本字段。这个文本字段（可能为空)对于GB/T15843 的本部分范围之外的应用是可用的：参看(G3/T15843.！一1999 附录A中文本字段的使用借息。如果这个文本宁段是非空的，那么 B必须设法恢复文本宇段的镇;这可能需要 A随同 TokenAB一起发送文本字段的全部或部分（可参看下面的注1)，声称者发送给验证者的第二个权标(TokenAB,)的格式为：TokenAB,=D
其中D为响应。
（1）实体A选择个随机数,使得r为满足[≤r送限1的整数，这个整数由A保密。A此时按照下列公武计算证据W
W-g mod p
(2）A将 TokenAB,发送给 BTukeuAB.应等于W 或h(WTexl)。(3)
收到okenAB之后，B应随机选择一个整数（询问\），这里d应满足0d免费标准bzxz.net
接收到询问d后,A按照下列公式由(秘密的)值r和A 的私有密钥A计算出响应D：D=dz.mdg
(6) 4 发送 IokenAB,=D给B,
（7）接收到响应D后，3执行下列计算程序：1）B检查是否 0<.I4：如果不是,那么拒绝A:2）B按照下列公式计算值W：
W'-(y.)\g\ mod p
如果在程序的第一淡交换中发送的是W,那么B检验他计算的值W是否等于在程序的3
第次交换中发送的W值。相应地，妇果在程序的第欲交换中发送的是（W终Text),那么B首先计算h（W「Texl).然后核查 h(wⅡTcxt）是否等于在程序的第一次交换中发送的h(WText)值，蝴果h(W！Text)≠(WTexl)那么这个机制失敷并且 A被拒绝。香则,B接受A：
注1：其他的信息可以随鉴别程序的任何回合的任何交换起发送。注2：A选择随机数一的过程要保证在鉴别循息的生存摄期之内.这些选取的数值是独立的，这--点很董要。如果：例妇，同一个征一使用两次，那么第二方就可能推导出A的称有认可信息，并因此成功地窄充A。注3：建议在这个机制中使用的密钥对仅议用于鉴别的目的·而不要用丁其他的任何应用中（例如数字签名的产生）。如果没有遵循这个建议，那么应该特别注意以防止验证者利用声称者作为\签名谕示”例如，这可以通过要求询问具有特殊的选取形式而达到日的，注 4：在程序的第一次交换中使用h(W！ Text),来代替 W能够减少 ToketiABt 的比特数,从而提高效率。7使用非对称加密系统的基于证书的机制本章中详细说明了一个使用许对称加密系统的实体鉴别机制。注：此凯制源自Brand-tamgard-Landrork-Pedetsen方案1.7.1具体的要求
为了在一群实体中使用此机制，需要来取下列步骤。a）每一个希充当验证者的实体必须有产生随机数的方法。b）实体群中所有实体必须在两个密码函数的使用1-达成-·致:非对称加密系统,散列函数(例如GB/T15843.5--2005/TS0/IEC9798-5:1999在GB/T18238中描述的其中个散列函数）。c）每一个希望充当声称者的实体必须配备一对用于非对称加密系统的非对称密钥对。d）每个希翼成为验证者的实体必须有一种方试获得将要证身份的实体的公并验证密钥的可倍拷班：
注：为实体提供公升验证密到的可倍拷贝的具体方法超出了本探准的范国，这些方法可以从通过使用诸如公钥证书或其他一整侬赖于环境的方法得到。7.2鉴别交换
这个单间的鉴别机制涉及到志称者A和验证者形之间的下列信息交换，它使得B能够核查A的身份，
图3说明了这个鉴别机制，图中带括弧的数字对应于符合下面详细描述的交换骤。(2) TokeB A
(1), (5)
(4) TakenAH
图3基于可信公开变换的机制
由验证者发送给声称者的权标(TokenBA)的格式为：TokenBA=d
其中d为询间，由声称者发送给验证者的权标(TakenAB)的格式为：TokenAB-n
其中为响应。
(1）实体B选择一个随机数r，这个数由 B秘密保存。B接下米计算π(r)。这个随机数r的选操应该使得r」(r)位于A的公开加密变换PA的定义域之内。B然后按照下面的公武计算询间t：
dPa(rh(r))
B将 TokcenBA=d 发送给A。
（3）收到TokenBA之房，A执行下列计算步骤：1）A通过计算r h(r)=S,(d)恢复 r值，这胞SA 为A 的私有解密变换。2）A利用恢复的值r重新计算h（r)，如果这个值不等于从TokenBA得来的值，那么A终止这个机制。如果计算出的h(r)值与从TokenBA恢复出的值相同，绑么A置D=r。(4）A发送 TokenAB=D给B。
（5）接收TokenAB之居，B比较D和，如果r孚D,那么桃制失败，并自A被拒绝。如果r=D,那么B接受A。
注1，其他的信息可以随周这个机制交焕一起发送注 2：B选择随机数广的过程要保证：在 A 的非对称密钥对的4:命周期之内同一个数值选取两次的概率趋近零，
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。