|
A,
B
|
Nhãn được sử dụng
cho các thực thể tham gia vào một cơ chế.
|
|
dK
|
Quá trình giải mã
được xác thực sử dụng khóa
bí mật K.
|
|
eK
|
Quá trình mã hóa
được xác thực thực thi sử dụng khóa bí mật K.
|
|
eK(X)
|
Kết quả của quá
trình mã hóa dữ liệu X dùng thuật toán mã hóa đối xứng sử dụng khóa K.
|
|
IU
|
Định danh phân biệt
của thực thể U.
|
|
K
|
Khóa bí mật sử dụng
trong quá trình mã hóa và giải mã.
|
|
KUV
|
Khóa bí mật được
chia sẻ giữa thực thể U và V và chỉ sử dụng trong kỹ thuật mật
mã đối xứng.
|
|
NU
|
Số tuần tự được cấp
bởi thực thể U.
|
|
P
|
Ký hiệu mô tả bên
thứ ba tin cậy.
|
|
RU
|
Số ngẫu nhiên được
cấp bởi thực thể U.
|
|
TNU
|
Tham số
biến thiên theo thời gian có nguồn gốc từ thực thể U hoặc là tem thời
gian TU hoặc số tuần tự NU.
|
|
TokenUV
|
Thẻ được gửi từ thực
thể U đến thực thể V.
|
|
TU
|
Tem thời gian được
cấp bởi thực thể U.
|
|
TVPU
|
Tham số biến thiên
theo thời gian có nguồn gốc từ thực thể U, đó là tem thời gian TU,
số tuần tự NU hoặc số ngẫu nhiên RU.
|
|
X
|| Y
|
Kết quả của phép
ghép nối mục dữ liệu X và Y theo trình tự quy định. Trong trường hợp kết quả
của phép ghép hai hoặc nhiều mục dữ liệu được mã hóa như một phần của các cơ
chế được đặc tả trong phần này của bộ tiêu chuẩn này, kết quả này được sắp đặt
theo một trật tự vì vậy nó có thể là kết quả duy nhất đối với các xâu dữ liệu
cấu thành, tức là để không có khả năng không rõ ràng trong việc biên dịch. Tính
chất này có thể đạt được bằng nhiều cách khác nhau tùy thuộc vào ứng dụng. Ví
dụ, nó có thể được đảm bảo bằng cách (a) ấn định chiều dài của mỗi xâu con
trong suốt miền của cơ chế hoặc (b) mã hóa tuần tự
phép ghép xâu sử dụng một phương pháp đảm bảo việc giải mã duy nhất, ví dụ sử
dụng các quy tắc giải mã phân biệt được định nghĩa trong ISO/IEC 8825- 1[1].
CHÚ THÍCH
Không chỉ việc ghép nối
các xâu mà trật tự của chúng cũng cần thiết. Thông thường, các ký hiệu cho trật
tự này là [X1,…,
Xn].
|
5.
Các yêu cầu
Trong các cơ chế xác
thực được quy định trong tiêu chuẩn này, thực thể được xác thực chứng thực định
danh của mình bằng cách chứng minh thông tin của mình
về khóa xác thực bí mật. Thực thể đạt được điều này bằng cách sử dụng khóa bí mật
của mình để mã hóa dữ liệu cụ thể. Các dữ liệu được mã hóa có
thể được giải bởi bất kỳ ai được chia sẻ khóa xác thực bí mật của thực thể đó.
Dữ liệu được mã hóa phải bao gồm tham số biến thiên theo thời gian. Tham số đó
có thể được xác thực theo các cách sau đây:
1. Nếu là số ngẫu
nhiên, khi đó bên nhận cần chắc chắn rằng nó giống hệt với số thách thức ngẫu
nhiên được gửi tới bên được xác thực. Đối với việc tạo và sử dụng số ngẫu nhiên,
tham khảo tiêu chuẩn ISO/IEC 18031.
2. Nếu là tem thời
gian, bên nhận phải kiểm tra tính hợp lệ của tem thời gian đó.
3. Nếu là số tuần tự,
khi đó bên nhận phải có khả năng so sánh nó với số tuần tự được nhận trước đó
hoặc lưu trữ (các) số tuần tự để chắc rằng nó không được phát lại.
Các cơ chế xác thực
có các yêu cầu sau đây. Nếu một trong những yêu cầu sau không được đáp ứng thì
quá trình xác thực có thể bị tổn hại hoặc không thể thực hiện được.
a) Bên được xác thực
chứng thực chính bản thân mình để bên xác thực sẽ chia sẻ khóa xác thực bí mật
chung với bên xác thực kia, trong trường hợp các cơ chế quy định tại Điều 6 được
áp dụng hoặc mỗi thực thể cần chia sẻ khóa xác thực bí mật với bên thứ ba tin cậy
chung, trong trường hợp các cơ chế trong Điều 7 được áp dụng. Các khóa cần được
biết bởi các bên liên quan trước khi bắt đầu bất kỳ diễn ra một cơ chế xác thực.
Các phương pháp để đạt được điều này nằm ngoài phạm
vi của tiêu chuẩn này. Hướng dẫn về quản lý chia sẻ khóa bí mật được cung cấp
trong tiêu chuẩn ISO/IEC 11770-1 và ISO/IEC 11770-2.
b) Nếu bên thứ ba tin
cậy tham gia, thì các cơ chế cần được tin tưởng
bởi cả bên được xác thực và bên xác thực.
c) Khóa xác thực bí mật
được chia sẻ bởi bên được xác thực và bên xác thực hoặc
bởi một thực thể và một bên thứ ba tin cậy, cần được biết chỉ hai bên đó
và có thể, các thực thể khác mà cả hai đều tin tưởng không sử dụng sai khóa, ví
dụ sự giả mạo là một trong các bên tham gia.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
d) Các thẻ được sử dụng
trong các cơ chế phải
không thể giả được ngay cả biết những thông tin của
thẻ cũ. Nói cách khác, thẻ cũ không thể tái sử dụng trong bất kỳ cách nào (một
phần hoặc toàn bộ) để tạo thẻ mới. Đối với mỗi khóa
bí mật K, hàm mã hóa eK
và hàm giải mã dK
tương ứng cần có các thuộc tính sau. Quá trình giải mã dK,
khi áp dụng với một xâu eK(X)
phải cho bên nhận xâu đó phát hiện giả mạo hay thay đổi
dữ liệu, tức là chỉ bên sử dụng khóa bí mật đó mới
có thể tạo ra xâu mà sẽ được “chấp nhận” được
đưa ra trong quá trình giải mã dK.
CHÚ THÍCH Trong
thực tế, vấn đề này có thể đạt được bằng nhiều cách. Các phương pháp tiếp cận
được khuyến nghị là sử dụng khóa bí
mật K với kỹ thuật mã hóa được xác thực mà cung
cấp cả bảo vệ bí mật và toàn vẹn, như được tiêu chuẩn
hóa trong tiêu chuẩn ISO/IEC 19772.
e) Các cơ chế trong
tiêu chuẩn này yêu cầu sử dụng các tham số biến
thiên theo thời gian như tem thời gian, số tuần tự hoặc số ngẫu nhiên. Các thuộc
tính các tham số này, đặc biệt là không tính đến chúng để lặp lại trong thời
gian sử dụng của một khóa xác thực bí mật, rất quan trọng cho các cơ chế này.
Để biết thêm thông tin xem Phụ lục B
TCVN 11817-1.
f) Khóa xác thực bí mật
trong việc thực hiện một trong số các cơ chế được đặc tả trong phần này của Bộ
tiêu chuẩn này phải khác biệt với các khóa đã
sử dụng cho bất kỳ mục đích khác.
g) Xâu dữ liệu đã được
mã hóa tại các điểm khác nhau trong một cơ chế xác thực không được sắp xếp theo
thứ tự vì vậy chủng có thể thay đổi lẫn nhau.
CHÚ THÍCH Điều này
có thể được thực hiện bằng cách bao gồm các yếu tố trong mỗi xâu dữ liệu đã được
mã hóa sau đây:
- Định danh đối tượng được đặc tả
trong Phụ lục A, phần tiêu chuẩn ISO định danh cụ thể, phần số và cơ chế xác thực;
- Một hằng số xác định
duy nhất một xâu đã được mã hóa trong một cơ chế. Hằng số
này có thể được bỏ qua trong cơ chế chỉ có một xâu
đã được mã hóa.
Người nhận xâu dữ liệu
đã được mã hóa có thể kiểm tra định danh đối tượng
và hằng số xác định vị trí ký
trong cơ chế được kỳ vọng.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6
Cơ chế không liên quan đến bên thứ ba tin cậy
Trong các cơ chế này
các thực thể A và B sẽ
chia sẻ một khóa xác thực bí mật chung là KAB
và hai khóa bí mật một chiều KAB và KBA
trước khi bắt đầu diễn ra bất kỳ một cơ chế xác thực.
Trong các trường hợp sau khóa một chiều KAB và KBA
được sử dụng tương ứng cho việc xác thực A bởi
B và ngược lại.
Tất cả các trường
văn bản được quy định trong các cơ chế sau đây có sẵn để sử dụng trong các ứng
dụng ngoài phạm vi của tiêu chuẩn này (chứng có thể rỗng). Mối quan hệ và nội
dung phụ thuộc vào từng ứng dụng cụ thể. Xem Phụ lục B về thông
tin sử dụng các trường văn bản.
6.1 Xác
thực một chiều
Xác thực một chiều có
nghĩa rằng chỉ một trong hai thực thể được
xác thực bằng sử dụng cơ chế này.
6.1.1 Cơ
chế 1 - Xác thực đơn chuyến
Trong cơ chế xác thực
này bên được xác thực A khởi tạo quá trình và được xác thực bởi
Bên xác thực B. Tính duy nhất/đúng lúc được kiểm
soát bằng cách tạo ra và kiểm tra tem thời gian hoặc số tuần tự (Xem Phụ lục B
TCVN 11817-1). Cơ chế này được minh họa trong Hình
1.
Hình
1: Cơ chế 1 - Xác thực đơn chuyến
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Bên khiếu nại A
sử dụng tham số biến thiên theo thời gian TNA là tem thời
gian TA hoặc số tuần tự NA. Sự lựa chọn phụ
thuộc vào khả năng kỹ thuật của bên được xác thực và bên xác thực cũng như đối
với môi trường.
Việc đưa định danh
phân biệt lB trong TokenAB
là tùy chọn.
CHÚ THÍCH Định
danh phân biệt lB bao gồm trong TokenAB
để ngăn chặn việc tái sử dụng TokenAB
trên thực thể A bởi một kẻ mạo danh như là thực thể B.
Việc bao gồm này là tùy chọn do đó trong môi trường mà các kẻ tấn công không thể
xảy ra, có thể được bỏ qua. Định danh phân biệt IB có thể
cũng được bỏ qua nếu khóa một chiều được sử dụng.
Sau đây là mô tả cơ
chế 1 - Xác thực đơn chuyến.
(1) A tạo và gửi
TokenAB cho B
(2) Khi nhận được
thông báo chứa TokenAB, B xác thực TokenAB
bằng giải mã phần mã (giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra trong
Điều 5 d) và sau đó kiểm tra tính đúng đắn của định danh phân biệt IB,
nếu có, cũng như tem thời gian hoặc số tuần tự.
6.1.2 Cơ
chế 2 - Xác thực hai chuyến
Trong cơ chế này bên
được xác thực A được xác thực bởi
bên xác thực B để khởi tạo quá trình. Tính duy nhất đúng
lúc được kiểm soát bằng cách tạo ra và kiểm tra
số ngẫu nhiên RB (xem Phụ lục B TCVN 11817-1). Cơ chế
xác thực được minh họa trong Hình 2.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hình
2: Cơ chế 2 - Xác thực hai chuyến
Hình
thức của thẻ (TokenAB), được gửi bởi Bên được xác thực A
đến Bên xác thực B là:
Việc đưa định danh
phân biệt lB trong TokenAB
là tùy chọn.
CHÚ THÍCH 1 Để
ngăn chặn khả năng tấn công bản rõ được chọn, tức là tấn
công phân tích mã trong đó người phân tích mã biết bản rõ hoàn chỉnh của một
hay nhiều xâu bản mã, thực thể A có thể bao gồm số
ngẫu nhiên RA trong Text2.
CHÚ THÍCH 2 Định
danh phân biệt lB được bao gồm trong TokenAB
để ngăn chặn bất kỳ bên nào sử dụng TokenAB như TokenBA.
Việc đưa định danh phân biệt lB
là tùy chọn do đó trong môi trường mà các
cuộc tấn công không thể xảy ra thì
có thể bỏ qua. Định danh phân biệt lB
có thể được bỏ qua nếu khóa một chiều được sử dụng.
Sau đây là mô tả cơ
chế 2 - Xác thực hai chuyến.
(1) B tạo ra một
số ngẫu nhiên RB và
gửi nó, tùy chọn, một trường văn bản Text1
tới A.
(2) A tạo ra
và gửi TokenAB cho B.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
6.2 Xác
thực lẫn nhau
Xác thực lẫn nhau
nghĩa là hai thực thể giao tiếp được chứng thực với nhau bằng cách sử dụng cơ
chế này.
Hai cơ chế được mô tả
trong Điều 6.1.1 và 6.1.2 là tương ứng tương thích trong Điều 6.2.1 và 6.2.2, để
đạt được xác thực lẫn nhau. Trong cả hai trường hợp này đòi hỏi
nhiều chuyển hơn và nhiều kết quả hơn trong hai bước tiếp.
CHÚ THÍCH
Cơ chế
xác thực thứ ba để xác thực lẫn nhau có thể được xây dựng từ hai
trường hợp của cơ chế được quy định
trong 6.1.2, một bắt đầu bởi thực thể A và một bắt đầu bởi thực thể B.
6.2.1 Cơ
chế 3 - Xác thực hai chuyến
Trong cơ chế xác thực
này tính duy nhất/đúng lúc được kiểm soát bằng cách tạo và kiểm tra tem thời gian
hoặc số tuần tự (xem Phụ lục B
TCVN 11817-1).
Cơ chế xác thực này
được minh họa trong Hình 3.
Hình
3: Cơ chế 3 - Xác thực hai
chuyến
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hình thức của thẻ (TokenBA),
được gửi từ B đến A là:
Việc đưa định danh
phân biệt lB trong TokenAB
và việc bao gồm định danh phân biệt lA
trong TokenBA là (một cách độc lập) tùy chọn.
CHÚ THÍCH Định danh phân biệt lB
được bao gồm trong TokenAB để ngăn chặn việc tái sử dụng TokenAB
trên thực thể A bởi kẻ tấn công
giả mạo như là thực thể B. Với những lý do
tương tự định danh phân biệt lA có trong TokenBA.
Việc bao gồm được thực hiện tùy chọn do đó, trong các môi trường
mà các cuộc tấn công như vậy không xảy ra, một hoặc cả hai
có thể bỏ qua. Các định danh phân biệt lA
và lB cũng có thể
được bỏ qua nếu sử dụng khóa một chiều (xem bên dưới).
Sự lựa chọn việc sử dụng
hoặc tem thời gian hoặc số tuần tự trong cơ chế này phụ thuộc vào khả năng của
bên được xác thực và bên xác thực cũng như đối với môi trường.
Sau đây là mô tả cơ
chế 3 - xác thực hai chuyến:
(1) A tạo ra
và gửi TokenAB cho B.
(2) Khi nhận được
thông báo có chứa TokenAB, B
xác minh TokenAB bằng cách giải mã phần mã [giải
mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra trong Điều 5 d]
và kiểm tra tính đúng đắn của định danh phân biệt lB,
nếu có, cũng như tem thời gian và số tuần tự.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
(4) Thông báo trong
bước (3) được xử lý một cách tương tự như trong bước (2) của 6.1.1.
CHÚ THÍCH Hai thông báo của cơ
chế này không bị ràng buộc với nhau trong bất kỳ cách
nào, khác với hoàn toàn kịp thời gian; cơ chế này liên quan đến việc sử dụng độc
lập cơ chế 6.1.1 hai lần. Hơn nữa ràng buộc với nhau của các
thông báo có thể đạt được bằng cách sử dụng hợp lý các
trường văn bản.
Nếu khóa một chiều được
sử dụng khi đó khóa KAB trong TokenBA được
thay thế bằng khóa một chiều KBA, và các khóa thích hợp được
sử dụng trong bước (4).
6.2.2 Cơ
chế 4 - xác thực ba chuyến
Trong cơ chế
xác thực này tính duy nhất đúng lúc được kiểm soát bằng cách tạo và
kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1).
Cơ chế xác thực này
được minh họa trong Hình 4.
Hình
4 - Cơ chế 4 - xác thực ba chuyến
Các thẻ có dạng sau:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Việc đưa định danh
phân biệt lB trong TokenAB
là tùy chọn.
CHÚ THÍCH Khi có
mặt định danh phân biệt lB được
bao gồm trong TokenAB để ngăn chặn tấn công phản xạ. Cuộc tấn
công như vậy được đặc trưng bởi thực tế là
một kẻ xâm nhập ‘phản xạ’
thách thức RB đến
B giả vờ là A. Sự bao gồm định
danh phân biệt lB là tùy chọn do đó,
trong môi trường mà các cuộc tấn công như vậy không thể
xảy ra, thì có thể bỏ qua. Định danh phân biệt lB
cũng có thể được bỏ qua
nếu sử dụng khóa một chiều (xem bên dưới)
Sau đây là mô tả cơ
chế 4 - xác thực ba chuyến:
(1) B tạo số
ngẫu nhiên RB và gửi nó, tùy chọn, trường văn bản Text1
cho A.
(2) A tạo số
ngẫu nhiên RA, và tạo ra và gửi TokenAB đến
B.
(3) Khi nhận được
thông báo có chứa TokenAB, B xác minh TokenAB
bằng cách giải mã phần mã (giải mã ngụ ý rằng
đáp ứng các yêu cầu được đưa ra trong Điều 5d) và kiểm tra tính đúng đắn của định
danh phân biệt lB, nếu có, cũng số ngẫu nhiên
RB, được gửi đến A trong bước (1), đồng ý với số ngẫu
nhiên được chứa trong TokenAB.
(4) B tạo ra
và gửi TokenBA đến A.
(3) Khi nhận được
thông báo có chứa TokenBA, A xác minh TokenBA
bằng cách giải mã phần mã [giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra
trong Điều 5 d] và kiểm
tra tính đúng đắn của định danh phân biệt lB,
nếu có, cũng số ngẫu nhiên RB,
được nhận từ B trong bước (1), đồng ý với số ngẫu
nhiên được chứa trong TokenBA và số ngẫu nhiên RA,
được gửi tới B trong bước (2),
đồng ý với số ngẫu nhiên được chứa trong TokenBA.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7
Cơ chế liên quan đến bên thứ ba tin cậy
Cơ chế xác thực trong
Điều này không sử dụng khóa bí mật được chia sẻ bởi
hai thực thể trước quá trình xác thực. Tuy nhiên Cơ chế này sử dụng bên thứ ba
tin cậy (ký hiệu là P) mà mỗi thực thể A và B chia sẻ khóa
bí mật KAP và KBP tương ứng. Trong cả hai
cơ chế một trong những thực thể yêu cầu khóa KAB từ bên thứ
ba tin cậy. Cơ chế này mô phỏng theo các cơ chế được mô tả
trong 6.2.1 và 6.2.2 tương ứng.
Như đã mô tả bên dưới
các chuyến nhất định có thể bỏ qua ở mỗi
cơ chế nếu yêu cầu chỉ xác thực một chiều.
Tất cả các trường văn
bản được quy định trong các cơ chế sau đây có sẵn
để sử dụng trong các ứng dụng nằm ngoài phạm vi của tiêu chuẩn này (chúng có
thể rỗng). Mối quan hệ và nội dung phụ thuộc vào từng ứng dụng cụ thể. Xem Phụ
lục B về thông tin sử dụng các trường văn bản.
7.1 Cơ
chế 5 - xác thực bốn chuyến
Cơ chế này tương
đương với cơ chế thiết lập khóa số 8 của tiêu chuẩn ISO/IEC 11770-2:2008.
Cơ chế xác thực này
được minh họa trong Hình 5.
Hình
5 - Cơ chế số 4 - xác thực bốn chuyến
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hình thức của thẻ (TokenAB),
được gửi từ A đến B là:
Hình thức của thẻ (TokenBA),
được gửi từ B đến A là:
Sự lựa chọn việc sử dụng
hoặc tem thời gian hoặc số tuần tự trong cơ chế này phụ thuộc vào khả năng của
các thực thể cũng như đối với môi trường.
Việc sử dụng tham số
biến thiên theo thời gian TVPA trong các bước (1) đến (3)
trong Hình 5 theo quy định dưới đây hơi khác so với sử dụng bình thường của nó.
Nó cho phép A kết hợp thông báo đáp ứng (2) với thông báo yêu cầu (1).
Các đặc tính quan trọng của tham số biến
thiên theo thời gian ở đây là không lặp lại, để hạn chế việc tái sử dụng có thể
của một TokenPA được sử dụng trước đó.
CHÚ THÍCH Tham số biến thiên theo thời gian TVPA có thể
là số ngẫu nhiên. Tuy nhiên không giống như số ngẫu nhiên được sử dụng trong một
số cơ chế trong tiêu chuẩn TCVN 11817, nó
không cần thiết rằng TVPA không thể đoán trước cho bên thứ
ba và giá trị đếm không lập sẽ thích hợp như nhau.
Sau đây là mô tả cơ
chế số 5 - xác thực bốn chuyến:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
(2) Bên thứ ba tin cậy
P tạo và gửi TokenPA cho A.
(3) Khi nhận được
thông báo có chứa TokenPA, A xác minh TokenPA
bằng cách giải mã phần mã sử dụng KAP
(giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra trong Điều 5 d) và kiểm tra
tính đúng đắn của
định danh phân biệt IB và
tham số biến thiên theo thời gian, được gửi từ P ở
bước (1), đồng ý với tham số biến thiên theo thời gian chứa trong TokenPA.
Ngoài ra, A nhận được khóa xác thực bí mật KAB. A
sau đó trích xuất.
từ TokenPA
và sử dụng nó để xây dựng TokenAB.
(4) A tạo ra
và gửi cho B TokenAB.
(5) Khi nhận được
thông báo có chứa TokenAB, B xác minh TokenAB
bằng cách giải mã phần mã [giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra
trong Điều 5 d)] và kiểm tra tính đúng đắn của định danh phân biệt IA
và IB cũng như (các) tem thời gian hoặc (các) số
tuần tự. Ngoài ra B nhận khóa xác thực bí mật KAB.
(6) B tạo ra
và gửi cho A TokenBA.
(7) Khi nhận được
thông báo có chứa TokenBA, A xác minh TokenBA
bằng cách giải mã phần mã (giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra
trong Điều 5 d) và kiểm tra tính đúng đắn của định danh phân biệt IA
cũng như tem thời gian hoặc số tuần tự.
Các bước (6) và (7) có
thể được bỏ qua nếu chỉ yêu cầu xác thực một chiều của A tới
B.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Trong cơ chế xác thực
lẫn nhau này tính duy nhất đúng lúc được kiểm soát bằng cách tạo và
kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1). Cơ chế này tương đương với
cơ chế thiết lập khóa số 9 của tiêu chuẩn ISO/IEC 11770-2.
Cơ chế xác thực này
được minh họa trong Hình 6.
Hình
6 - Cơ chế 6 - xác thực năm chuyến
Hình
thức của thẻ (TokenPA), được gửi từ
P đến A là:
Hình thức của thẻ (TokenAB),
được gửi từ A đến B là:
Hình thức của thẻ (TokenBA),
được gửi từ B đến A là:
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sau đây là mô tả cơ chế số 6
- xác thực năm chuyến:
(1) B tạo số
ngẫu nhiên RB và gửi nó, tùy chọn, và trường văn bản Text1
đến A.
(2) A tạo số ngẫu
nhiên RA và gửi nó, số ngẫu nhiên RB, định
danh phân biệt lB và, tùy chọn, trường văn bản
Text2 đến bên thứ ba tin cậy P.
(3) Bên thứ ba tin cậy
P tạo ra và gửi TokenPA đến A.
(4) Khi nhận được
thông báo có chứa TokenPA, A
xác minh TokenPA bằng cách giải mã phần mã sử dụng KAP
[giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra trong Điều 5 d] và kiểm tra
tính đúng đắn của định danh phân biệt lB
và số ngẫu nhiên RA, được gửi tới P ở
bước (2), đồng ý với số ngẫu nhiên chứa trong TokenPA. Ngoài
ra, A nhận được khóa xác thực bí mật KAB. A sau đó trích xuất.
từ TokenPA
và sử dụng nó để xây dựng TokenAB.
(5) A tạo ra số
ngẫu nhiên thứ hai R'A và tạo ra và gửi TokenAB
đến B.
(6) Khi nhận được
thông báo có chứa TokenAB, B
xác minh TokenAB bằng cách giải mã phần mã
(giải mã ngụ ý rằng đáp ứng các yêu cầu được đưa ra
trong Điều 5 d) và kiểm tra tính đúng đắn của định danh phân biệt lA
và số ngẫu nhiên RB, được gửi tới
A trong bước (1), đồng ý với hai bản sao được chứa trong TokenAB.
Ngoài ra B lấy khóa xác thực bí mật
KAB.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
(8) Khi nhận được
thông báo có chứa TokenBA,
A xác minh TokenBA
bằng cách giải mã phần mã (giải mã ngụ ý
rằng đáp ứng các yêu cầu được đưa ra trong Điều 5 d) và kiểm tra số ngẫu nhiên RB
được nhận từ B trong bước (1), đồng ý với
số ngẫu nhiên được chứa trong TokenBA và số
ngẫu nhiên R’A, được gửi đến B trong bước (5), đồng ý
với số ngẫu nhiên được chứa trong TokenBA.
Các bước (7) và (8)
có thể được bỏ qua nếu chỉ yêu cầu xác thực một chiều của A tới B.
Phụ lục A
(Quy
định)
OID và cú pháp ASN.1
A.1
Định nghĩa chính thức
A.2 Sử
dụng định danh đối tượng tiếp theo
Mỗi cơ chế xác thực
thực thể sử dụng kỹ thuật mã hóa đối xứng. Do đó, định
danh đối tượng của cơ chế xác thực thực thể có thể theo sau bởi một định danh đối
tượng quy định cụ thể kỹ thuật mã hóa được sử dụng, ví dụ định danh cho một
trong các cơ chế được quy định trong ISO/IEC 19772.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Để phù hợp với tiêu
chuẩn ISO/IEC 8825-1, định danh đối tượng bao gồm một hoặc nhiều
bộ tám. Mỗi dãy mã hóa một số.
- Bit 8 (bit có trọng
số cao nhất) được thiết lập bằng 0 trong bộ tám cuối cùng của một dãy và một
trong bộ tám trước đó, nếu có nhiều hơn một bộ tám.
- Nối các bit 7 đến 1
của bộ tám của một dãy mã hóa một số. Mỗi số cần mã hóa bằng cách sử dụng các bộ
tám ít nhất có thể, bộ tám ‘80’ là không hợp
lệ ở vị trí đầu tiên của một dãy.
- Số đầu tiên của số
tiêu chuẩn; số thứ hai, nếu có, là một phần trong tiêu chuẩn gồm nhiều phần.
Một định danh đối tượng
có thể tham chiếu tới bất kỳ cơ chế nào được định nghĩa trong tiêu chuẩn này.
- Để xác định một
tiêu chuẩn ISO, bộ tám đầu tiên được thiết lập là ‘28’, tức là 40 theo hệ thập
phân (xem ISO/IEC 8825-1).
- Hai bộ tám tiếp
theo được thiết lập bằng ‘CC46’. 9798 bằng '2646' trong hệ thập lục phân, tức
là 0010 0110 0100 0110, tức là hai khối của bảy bit 1001100 1000110. Sau khi
chèn các giá trị thích hợp của 8 bit trong mỗi bộ tám,
việc mã hóa dãy đó là 11001100 01000110, tức là ‘CC46’.
- Các bộ tám tiếp
theo được thiết lập bằng ‘02’ để xác định phần 2.
- Các bộ tám tiếp
theo định danh một cơ chế xác thực.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- '02’ định danh cơ
chế xác thực một chiều hai chuyến không liên quan đến bên thứ ba tin cậy.
- '03' định danh cơ
chế xác thực lẫn nhau hai chuyến không liên quan đến bên thứ ba tin cậy.
- '04' định danh cơ
chế xác thực lẫn nhau ba chuyến không liên quan đến
bên thứ ba tin cậy.
- '05' định danh cơ
chế xác thực lẫn nhau bốn chuyến liên quan đến bên thứ ba tin cậy.
- '06' định danh cơ
chế xác thực lẫn nhau năm chuyến liên quan đến bên thứ ba tin cậy.
VÍ DỤ
các phần tử '28 CC 46 02 05’ đọc {tiêu chuẩn iso
9798 2 5}, tức là cơ chế thứ năm trong tiêu chuẩn
này, tức là cơ chế xác thực lẫn nhau bốn chuyến liên
quan đến bên thứ ba tin cậy. Phần tử dữ liệu có thể được chuyển tải trong đối
tượng dữ liệu BER-TLV sau đây (xem các quy tắc mã hóa cơ bản của ASN.1, ISO/IEC
8825-1, thẻ lớp toàn cầu '06') nơi các dấu gạch ngang và dấu ngoặc nhọn không
quan trọng và được chèn vào chỉ cho rõ ràng.
Đối tượng dữ liệu = {‘06’-‘05’-‘28 CC 46 02 05'}
Phụ lục B
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sử dụng trường văn bản
Thẻ được quy định
trong Điều 6 và Điều 7 của tiêu chuẩn
này chứa các trường văn bản. Việc sử dụng thực tế và mối quan hệ giữa các trường
văn bản khác nhau trong một chuyến cho trước phụ thuộc vào ứng dụng. Một ví dụ
được đưa ra dưới đây; xem thêm Phụ lục A TCVN 11817-1.
- Bất kỳ thông tin cần
bảo mật hoặc chứng thực nguồn gốc nên cần
đặt ở phần được mã hóa của thẻ.
Phụ lục C
(Tham
khảo)
Tính chất của các cơ chế xác thực thực
thể
Bảng C.1 tóm tắt các
thuộc tính chính của các cơ chế xác thực thực thể được quy định trong tiêu chuẩn
này. Các tùy chọn được hiển thị trong dấu
ngoặc, ví dụ cơ chế số 5 có một tùy chọn phiên bản ba chuyến của giao thức để đạt
được xác thực một chiều.
Bảng
C.1 - Tính chất của các cơ chế
Cơ
chế
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
2
3
4
5
6
Số chuyến
1
2
2
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
4
(hoặc tùy chọn 3)
5
(hoặc tùy chọn 4)
Một chiều/Lẫn
nhau giữa bên xác thực và bên được xác thực
Một
chiều
Một
chiều
Lẫn
nhau
Lẫn
nhau
Lẫn
nhau (Một chiều)
Lẫn
nhau (Một chiều)
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
TNA
RB
TNA
và TNB
RA
và RB
TVPA,
TNB và TNP
RA
và RB
Thực thể khởi tạo
cơ chế (xác thực)
A
B
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
B
A
B
Bên được xác thực
biết được thành công
Không
Không
Chỉ
cho A
Chỉ
cho A
Chỉ
cho A
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Các chú thích sau được
áp dụng cho bảng trên:
CHÚ THÍCH 1 Đối
với cơ chế số 2, 4 và 6 sử dụng (các) số ngẫu nhiên để đảm
bảo tính chất mới thì không cần thiết để duy trì
hoặc đồng hồ đồng bộ hoặc số tuần tự giữa hai thực thể.
CHÚ THÍCH 2 Trong
cơ chế xác thực được mô tả trong tiêu chuẩn
này bên được xác thực gửi bằng chứng nhận dạng trong hình
thức của thẻ được mã hóa. Trong một số trường hợp không có đáp ứng từ các thực
thể khác chỉ ra rằng các bằng chứng được chấp nhận
thành công. Hàng cuối cùng trong Bảng C.1 chỉ ra nơi mà các giao thức vốn đảm bảo
thông tin xác thực thành công. Trong tất cả các trường hợp khác, nếu cần thiết
hệ thống đã cung cấp thông tin về thành công.
Thư
mục tài liệu tham khảo
[1] ISO/IEC 8825-1,
Information technology -
ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical
Encoding Rules (CER) and Distinguished Encoding Rules (DER)
[2] ISO/IEC
9797-1:1999, Information
technology - Security techniques - Message Authentication Codes (MACS)
- Part 1: Mechanisms using a block cipher
[3] ISO/IEC
9798-5:2004, Information
technology - Security techniques - Entity authentication
- Part 5: Mechanisms using zero-knowledge techniques
[4] ISO/lEC
10116:2006, Information technology- Security techniques - Modes of operation
for an n-bit block cipher
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
[6] ISO/IEC
11770-2:2008, Information technology - Security techniques
- Key management-Part 2: Mechanisms using symmetric techniques
[7] ISO/IEC
18014-1:2008, Information technology- Security techniques - Time-stamping
services - Part 1: Framework
[8] ISO/IEC18031,
Information technology-Security techniques-Random bit generation
[9] ISO/lEC 19772:-2),
Information technology- Security techniques-Authenticated encryption
[10] D, Basin, C.
Cremers and S. Meier, ‘Provably repairing the ISO/IEC 9798 standard for entity
authentication’. In: P. Degano, J. D. Guttman (eds.), Principles of Security
abd Trust - First International Conferencw, POST 2012, Tallinn, Esstinia,
March 24 - April 1, 2012, Proceedings Springer LNCS 7215, pp.129-148, 2012
MỤC
LỤC
Lời nói đầu
1 Phạm
vi áp dụng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
3 Thuật
ngữ và định nghĩa
4 Ký
hiệu và từ viết tắt
5 Các
yêu cầu
6 Cơ
chế không liên quan đến bên thứ ba tin cậy
6.1 Xác
thực một chiều
6.1.1 Cơ
chế 1 - Xác thực đơn chuyến
6.1.2 Cơ
chế 2 - Xác thực hai chuyến
6.2 Xác
thực lẫn nhau
6.2.1 Cơ
chế 3 - Xác thực hai chuyến
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7 Cơ
chế liên quan đến bên thứ ba tin cậy
7.1 Cơ
chế 5 - xác thực bốn chuyến
7.2 Cơ
chế 6 - xác thực năm chuyến
Phụ lục A (Quy định)
OID và cú pháp ASN.1
A.1 Định
nghĩa chính thức
A.2 Sử
dụng định danh đối tượng tiếp theo
A.3 Ví
dụ mã hóa phù hợp với quy
tắc mã hóa cơ bản của ASN.1
Phụ lục B (Tham khảo)
Sử dụng trường văn bản
Phụ lục C (Tham khảo)
Tính chất của các cơ chế xác thực thực thể
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66