《信息安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范》等四项技术征求意见稿发布
2022-4-1 11:52:34 Author: www.freebuf.com(查看原文) 阅读量:17 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2022年3月30日,全国信息安全标准化技术委员会发布了《信息安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范》(以下简称《身份鉴别》),《信息技术 安全技术 抗抵赖 第1部分:概述》(以下简称《抗抵赖1》),《信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制》(以下简称《抗抵赖3》),《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》(以下简称《实体鉴别4》)四项技术征求意见稿,面向全国公开征求意见。

其中,《身份鉴别》规定了基于密码令牌的,在通信中传输、验证和显示主叫用户可信身份的技术规范;适用于指导传输、验证和显示主叫用户可信身份的终端系统的设计、生产和测试,也可用于相关运营服务系统设计、研发与测试。

其基于密码令牌的主叫用户可信身份鉴别技术(CHAKEN),旨在将可信的主叫用户身份安全地展示给被叫方。为完成可信身份的展示,首先需要为可信用户签发可信身份凭证,该凭证包含可用于显示的经过核验的主叫用户信息,可以是文本、图片、音频信号或视频信息。其次被叫方利用密码令牌对主叫用户身份进行验证,确保主叫用户就是持有该可信身份凭证的主叫方终端。本文件对可信身份凭证签发和密码令牌消息交换进行了规范。

《抗抵赖1》和《抗抵赖3》则规定了抗抵赖机制的一般模型,可作为本系列标准其它几部分中规定的使用密码技术的抗抵赖机制的一般模型。GB/T 17903提供的抗抵赖机制可用于如下阶段的抗抵赖:证据生成;证据传输、存储和检索;证据验证。适用于信息系统中实现消息抗抵赖相关应用的设计、实现与测试。

《实体鉴别4》规定了采用密码校验函数的实体鉴别机制,包括单向鉴别和双向鉴别两种鉴别机制;适用于使用密码校验函数进行实体鉴别的设计、开发、实施、测试等。

《实体鉴别4》指出,鉴别机制有下述安全要求,违反其中任何一条,则鉴别过程可能会遭受攻击,或者不能成功完成:

1、向验证方证实其身份的声称方与该验证方共享用于鉴别的密钥。在正式启动鉴别机制之前,此

密钥应被有关各方所掌握,向各相关实体分发密钥的方法不属于本文件的范围;

2、声称方和验证方共享的鉴别密钥应仅被这两个实体,以及双方都信任的其它实体掌握;

3、应仔细选取密钥长度、密码校验值长度等参数,以达到所需的安全强度,可以在安全策略中明

确规定参数选取的方法和其对应的安全强度;

4、用于实现本文件任意鉴别机制的密钥,应和其它用途的密钥保持不同;

5、在鉴别机制中,应确保不同场合使用的密码校验值无法互换。

附:《信息安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范》

《信息技术 安全技术 抗抵赖 第1部分:概述》

《信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制》

《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》


文章来源: https://www.freebuf.com/news/326991.html
如有侵权请联系:admin#unsafe.sh