ICS

點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字簽名應(yīng)用安全證明獲取建議

Informationsecuritytechnology-Publickeyinfrastructure

-RecommendationforObtainingSecurityAttestationsforDigitalSignature

Applications

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（征求意見稿）

（本稿完成日期：2016/6/30）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前言

GB/T××××—200×《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字簽名應(yīng)用安全證明獲取建議》在《NIST

800-89數(shù)字簽名應(yīng)用安全證明獲取建議》和《NISTSP800-102數(shù)字簽名適時(shí)性證明獲取建議》的基礎(chǔ)

上修改制定。其中第5章的5.1節(jié)、5.2節(jié)對(duì)應(yīng)于《NIST800-89數(shù)字簽名應(yīng)用安全證明獲取建議》的第6

章、第5章。第6章的的6.1節(jié)、6.2節(jié)分別對(duì)應(yīng)于《NISTSP800-102數(shù)字簽名適時(shí)性證明獲取建議》第4

章和第5章。本標(biāo)準(zhǔn)與參考的兩個(gè)標(biāo)準(zhǔn)在技術(shù)內(nèi)容上保持一致，而忽略了其與美國(guó)具體的簽名算法標(biāo)準(zhǔn)

相關(guān)的部分，強(qiáng)調(diào)了安全證明獲取的一般過程。

本標(biāo)準(zhǔn)與兩個(gè)參考標(biāo)準(zhǔn)相比，主要變化如下：

a)將兩個(gè)參考標(biāo)準(zhǔn)合并為一個(gè)標(biāo)準(zhǔn)，將數(shù)字簽名的適時(shí)性證明也作為一項(xiàng)重要的安全證明；

b)本標(biāo)準(zhǔn)根據(jù)“信息安全技術(shù)公鑰基礎(chǔ)設(shè)施”相關(guān)標(biāo)準(zhǔn)的術(shù)語定義，僅保留了新增術(shù)語的定義；

c)將參考標(biāo)準(zhǔn)中與密碼相關(guān)的術(shù)語和規(guī)定，改成與國(guó)內(nèi)密碼政策相符的規(guī)定；

d)本標(biāo)準(zhǔn)第二章規(guī)范性引用文件修改為對(duì)應(yīng)國(guó)內(nèi)標(biāo)準(zhǔn)。

本標(biāo)準(zhǔn)凡涉及密碼算法相關(guān)內(nèi)容，按國(guó)家有關(guān)法規(guī)實(shí)施。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本標(biāo)準(zhǔn)起草單位：中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心。

本標(biāo)準(zhǔn)主要起草人：王躍武、荊繼武、劉麗敏、呂娜、牛瑩姣、劉志娟、夏魯寧。

I

GB/TXXXXX—XXXX

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字簽名應(yīng)用安全證明獲取建議

1范圍

本標(biāo)準(zhǔn)規(guī)定了一套數(shù)字簽名應(yīng)用安全證據(jù)獲取的流程，用以規(guī)范數(shù)字簽名應(yīng)用安全證明獲取的過

程，提高簽名過程的安全性。

本標(biāo)準(zhǔn)適用于各種數(shù)字簽名應(yīng)用場(chǎng)景，在具體應(yīng)用中，一些安全證明的獲取流程要依賴于具體的簽

名算法標(biāo)準(zhǔn)，進(jìn)行具體化。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的

修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

GB/T15851-1995帶恢復(fù)的數(shù)字簽名方案（idtISO/IEC9796:1991）；

GB/T17902.1-1999帶附錄的數(shù)字簽名第1部分：概述（idtISO/IEC14888-1:1998）；

GB/T17902.2-2005帶附錄的數(shù)字簽名第2部分：基于身份的機(jī)制（idtISO/IEC14888-2:1998）；

GB/T17902.3-2005帶附錄的數(shù)字簽名第3部分：基于證書的機(jī)制（idtISO/IEC14888-3:1998）；

GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范

GB/T25064–2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式

3術(shù)語和定義

下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

公鑰有效性證明AttestationofPublicKeyValidity

證明用于簽名驗(yàn)證的公鑰有效性的證據(jù)。

3.2

私鑰擁有屬性安全證明AttestationofPossession

證明聲稱的簽名者確實(shí)實(shí)際擁有用于生成簽名的私鑰的證據(jù)。

3.3

證明消息AttestationMessage

用于獲取私鑰擁有屬性安全證明的，具有特定格式的消息。

1

GB/TXXXXX—XXXX

3.4

證明簽名AttestationSignature

作用于證明消息的數(shù)字簽名。

3.5

證明時(shí)間AttestationTime

私鑰擁有屬性安全證明獲取的時(shí)間。

3.6

證明水平AttestationLevel

私鑰擁有屬性安全證明的可信程度，分為高、中、低三個(gè)層次，依賴于證明獲取的手段。

3.7

請(qǐng)求驗(yàn)證簽名SignatureinQuestion

請(qǐng)求私鑰擁有屬性安全證明的一個(gè)簽名。

3.8

簽名適時(shí)性證明AttestationofSignatureTimeliness

證明一個(gè)數(shù)字簽名確實(shí)是在一個(gè)時(shí)間點(diǎn)之前、之后或者是在一個(gè)時(shí)間段內(nèi)生成的證據(jù)。

3.9

可信時(shí)間戳機(jī)構(gòu)TrustedTimestampAuthority

被簽名者、驗(yàn)證者以及其它簽名依賴方相信，可以提供精確時(shí)間的實(shí)體。

3.10

時(shí)間戳數(shù)據(jù)Timestamped_data

被可信時(shí)間戳機(jī)構(gòu)簽名，用以提供簽名適時(shí)性證明的一個(gè)數(shù)據(jù)結(jié)構(gòu)。

3.11

時(shí)間戳數(shù)據(jù)簽名Timestamp_signatureTTA

由可信時(shí)間戳機(jī)構(gòu)用自己的私鑰，作用于可信時(shí)間戳數(shù)據(jù)的簽名。

3.12

可信時(shí)間戳機(jī)構(gòu)信息TTA_supplied_info

在簽名適時(shí)性證明獲取中，由可信時(shí)間戳機(jī)構(gòu)向時(shí)間戳申請(qǐng)實(shí)體發(fā)送時(shí)間戳數(shù)據(jù)包時(shí)，提供的信息，

是時(shí)間戳數(shù)據(jù)的組成部分。

3.13

實(shí)體時(shí)間戳申請(qǐng)信息User_supplied_info

在簽名適時(shí)性證明獲取中，由一個(gè)實(shí)體在向可信時(shí)間戳機(jī)構(gòu)申請(qǐng)時(shí)間戳數(shù)據(jù)包時(shí)，提供的信息，是

時(shí)間戳數(shù)據(jù)的組成部分。

2

GB/TXXXXX—XXXX

3.14

時(shí)間戳Timestamp

在簽名適時(shí)性證明獲取中，由可信時(shí)間戳機(jī)構(gòu)發(fā)送的包含時(shí)間信息和其它信息的一個(gè)數(shù)據(jù)結(jié)構(gòu)，是

時(shí)間戳數(shù)據(jù)的組成部分。

3.15

時(shí)間戳數(shù)據(jù)包Timestamp_packet

在簽名適時(shí)性證明獲取中，由可信時(shí)間戳機(jī)構(gòu)發(fā)送給時(shí)間戳申請(qǐng)實(shí)體的，包含時(shí)間戳數(shù)據(jù)和時(shí)間戳

簽名的一個(gè)數(shù)據(jù)包。

4縮略語

下列縮略語適用于本標(biāo)準(zhǔn)：

RSARSA公鑰算法AlgorithmdevelopedbyRivest,Shamirand

Adelman

GCD最大公約數(shù)GreatestCommonDivisor

CA證書認(rèn)證機(jī)構(gòu)CertificationAuthority

TST時(shí)間戳令牌TimestampToken

TTP可信第三方TrustedThirdParty

TTA可信時(shí)間戳機(jī)構(gòu)TrustedTimestampAuthority

TSP時(shí)間戳數(shù)據(jù)包TimestampPacket

5數(shù)字簽名應(yīng)用安全證明獲取

數(shù)字簽名是手寫簽名的電子化形式，參與電子簽名生成與驗(yàn)證的實(shí)體依賴于整個(gè)過程的真實(shí)性。該

建議明確了獲取數(shù)字簽名生成和驗(yàn)證環(huán)節(jié)的有效性證明方法。每一個(gè)數(shù)字簽名者都擁有一對(duì)公私鑰對(duì)，

并且該簽名者就是這對(duì)公私鑰對(duì)的擁有者。私鑰被用于數(shù)字簽名的產(chǎn)生，公鑰被用于數(shù)字簽名的驗(yàn)證過

程。數(shù)字簽名生成、驗(yàn)證過程的安全證明獲取包括：公鑰有效性的安全證明獲取；私鑰擁有屬性的安全

證明獲??；公私鑰對(duì)擁有者的標(biāo)識(shí)證明。

5.1私鑰擁有屬性的安全證明獲取

私鑰的擁有者是指被授權(quán)使用公私鑰對(duì)中的私鑰來進(jìn)行數(shù)字簽名生成的實(shí)體。生成的數(shù)字簽名可以

被對(duì)應(yīng)的公鑰進(jìn)行驗(yàn)證。被授權(quán)使用私鑰生成簽名并不意味著擁有者確實(shí)知道正確的私鑰。因此，在擁

有者進(jìn)行數(shù)字簽名之前需要獲取私鑰擁有屬性的安全證明。

根據(jù)簽名公私鑰對(duì)生成方式的不同，私鑰被知道的情況可以分為如下幾種：

1、擁有者自己生成和維護(hù)公私鑰對(duì)，僅由擁有者知道私鑰；

2、擁有者在TTP的幫助下生成公私鑰對(duì)，但是私鑰只能由擁有者知道；

3、公私鑰對(duì)由TTP生成后提供給擁有者，擁有者和TTP同時(shí)知道私鑰；

4、公私鑰對(duì)采用方式1生成，生成后提供給充當(dāng)密鑰服務(wù)器的TTP，這樣擁有者和TTP同時(shí)知

道私鑰；

5、公私鑰對(duì)采用方式2生成，生成后提供給充當(dāng)密鑰服務(wù)器的TTP，這樣擁有者和充當(dāng)密鑰服務(wù)

器的TTP同時(shí)知道私鑰；

3

GB/TXXXXX—XXXX

第4、第5的情形不同于僅被提供給公鑰的TTP，如CA，此時(shí)的TTP知道私鑰。

后三種情況下，TTA知道私鑰的情況必須建立在他們不會(huì)用私鑰生成數(shù)字簽名的信任之上。公私鑰

對(duì)擁有者、簽名驗(yàn)證者以及其它簽名依賴方要能夠共享這個(gè)信任。情況3、4、5相對(duì)于情況1、2，其私

鑰擁有屬性的安全證明要稍低一些。

需要私鑰擁有屬性安全證明的情形如下：

1、公私鑰對(duì)擁有者在簽名生成之前或者同時(shí)要獲得私鑰擁有屬性安全證明。

2、驗(yàn)證者接受數(shù)字簽名有效之前或者同時(shí)要獲得私鑰擁有屬性安全證明，在獲得私鑰擁有屬性安

全證明之前，要獲得生成簽名的公私鑰對(duì)擁有者的身份安全證明。

3、TTP要向其它各方提供公私鑰對(duì)擁有者的私鑰擁有屬性安全證明，在獲得私鑰擁有屬性安全證

明之前，要獲得擁有者的身份安全證明。例如，CA在簽發(fā)證書之前，需要獲得擁有者的私鑰擁

有屬性安全證明和身份安全證明。

4、對(duì)于提供公私鑰對(duì)給擁有者的TTP，TTP要首先獲得簽名者身份的安全證明，然后獲取擁有者確

實(shí)擁有正確的私鑰的證明。

獲取或提供私鑰擁有屬性安全證明一般需要采用一系列確定的操作。同時(shí)，在進(jìn)行了一系列的操作

后，獲取的私鑰擁有屬性安全證明是有時(shí)效性的。定期地進(jìn)行私鑰擁有屬性安全證明的獲取是一個(gè)合適

的選擇。

在進(jìn)行私鑰擁有屬性安全證明獲取之前，需要完成公鑰有效性的獲取。

5.1.1證明獲取時(shí)間點(diǎn)確定的私鑰擁有屬性安全證明獲取時(shí)效模型

私鑰擁有屬性安全證明的獲取要在一個(gè)特定的時(shí)間點(diǎn)完成，該時(shí)間點(diǎn)被稱為證明時(shí)刻。隨著時(shí)間的

流逝，可能會(huì)發(fā)生一些事件，對(duì)私鑰擁有屬性安全證明產(chǎn)生負(fù)面影響。隨著時(shí)間流逝的增加，發(fā)生這些

事件的概率也將增加。

隨著時(shí)間流逝的增加，保障水平一般會(huì)因?yàn)樯鲜鍪录陌l(fā)生而降低。另一方面，在獲取證明的一段

時(shí)間內(nèi)，即證明時(shí)刻之后的一段時(shí)間內(nèi)，獲取的私鑰擁有屬性安全證明是可信的，推斷是合理的。簽名

依賴方所在的組織需要對(duì)這個(gè)合理性做出判斷。根據(jù)距離證明時(shí)刻的遠(yuǎn)近，將私鑰擁有屬性安全證明的

證明水平分為高、中、低三個(gè)等級(jí)，簽名依賴方所在的組織可以根據(jù)需要選擇實(shí)現(xiàn)自己的證明水平。

圖1描述了私鑰擁有屬性安全證明的證明水平隨時(shí)間變化的模型。在圖1中，tA為私鑰擁有屬性安全

證明生成的時(shí)刻。a，b，c的值由簽名依賴方所在的組織根據(jù)自己的安全需求選擇。

圖1私鑰擁有屬性安全證明的證明水平隨時(shí)間變化的通用模型

4

GB/TXXXXX—XXXX

a和b是tA前后的兩個(gè)時(shí)間段，在這個(gè)模型中，tA-a和tA+b這兩個(gè)時(shí)間點(diǎn)內(nèi)，獲得的私鑰擁有屬

性安全證明具有高的證明水平。這段時(shí)間擁有高的保障水平，簽名依賴方所在的組織根據(jù)安全

策略，選擇不同的a、b值控制對(duì)證明的信任程度。

c是tA+b之后的一個(gè)時(shí)間段，在這段時(shí)間內(nèi)，私鑰擁有屬性安全證明的證明水平逐漸從高降到

低。

在tA+b+c之后的時(shí)間里，私鑰擁有屬性安全證明的證明水平一直為低。

在私鑰擁有屬性安全證明的證明水平降為低之后，如果仍需要高水平的證明，要重新進(jìn)行私鑰擁有

屬性安全證明的證明獲取。

5.1.2證明獲取時(shí)間點(diǎn)不確定的私鑰擁有屬性安全證明獲取時(shí)效模型

理想情況下，私鑰擁有屬性安全證明獲取的時(shí)刻應(yīng)該是一個(gè)精確的值。然而，實(shí)際應(yīng)用中，準(zhǔn)確地

確定安全證明的獲取時(shí)間存在一定的困難，通常會(huì)用一個(gè)估計(jì)值代替，這個(gè)估計(jì)值是用一個(gè)包含證明生

成時(shí)刻的一個(gè)時(shí)間段表示。結(jié)合5.1.1中的證明時(shí)效性一般模型，可以得到基于證明時(shí)刻估值的私鑰擁

有屬性安全證明時(shí)效模型，如圖2所示。與圖1不同的是，初始證明級(jí)別可以不是高。

圖2基于證明時(shí)刻估值的私鑰擁有屬性安全證明時(shí)效模型

a，b，c的定義同5.1.1。

tG表示證明簽名的生成時(shí)刻。

t1表示被依賴方信任超前于tG的證明生成時(shí)刻。

t2表示被依賴方信任滯后于tG的證明生成時(shí)刻。

d表示t1和t2之間最大的差值。

tA表示指定的證明時(shí)刻，并且必須滿足t1<=tA<=t2，本標(biāo)準(zhǔn)中，為了方便起見，一般指定tA=t1，

或者tA=t2。

a，b，c和d，由簽名依賴方或者其所在的組織，在考慮如下因素的基礎(chǔ)上確定：

1、a，b，c的值要根據(jù)組織策略對(duì)數(shù)字簽名的安全證明要求確定，同時(shí)還要考慮所采用的私鑰擁

有屬性安全證明獲取過程的難易程度。

2、d的值應(yīng)該小于a和b中最小值得一半，即d<1/2min（a,b），并且d的確定還要考慮證明獲

取時(shí)刻tG的誤差估計(jì)。此外，d的確定還要將保障在網(wǎng)絡(luò)上安全傳輸?shù)臅r(shí)間考慮在內(nèi)。

5

GB/TXXXXX—XXXX

根據(jù)估計(jì)的私鑰擁有屬性安全證明獲取時(shí)刻tA，依賴方可以確定不同時(shí)間的證明水平的級(jí)別。在tA-

（a-d）和tA+（b-d）時(shí)刻內(nèi)，獲取的安全證明具有高或者中的證明水平，這取決于安全證明的獲取過

程。tA+（b-d）之后，證明水平逐步降低，在tA+（b-d）+c時(shí)刻，安全證明水平降到低。之后，安全證

明水平將一直為低。如果策略要求需要高的安全證明水平，則需要重新獲得安全證明。

5.1.3私鑰擁有屬性安全證明獲取過程

私鑰擁有屬性安全證明可以用如下的一種或多種方法得到：

1、由聲稱的私鑰擁有者簽發(fā)一個(gè)新的數(shù)字簽名，然后用其對(duì)應(yīng)的公鑰進(jìn)行驗(yàn)證。

2、重新生成一次公私鑰對(duì)，然后把它與擁有者當(dāng)前擁有的公私鑰對(duì)進(jìn)行充分地比對(duì)。

3、用公私鑰對(duì)中的一個(gè)密鑰重新生成另一個(gè)密鑰，然后將新生成的密鑰與擁有者擁有的對(duì)應(yīng)密鑰

進(jìn)行充分地比對(duì)。

其中，重新生成密鑰的私鑰擁有屬性安全證明獲取方法，只適用于公私鑰對(duì)擁有者或者被擁有者信

任可以知道私鑰信息的TTP。此類方法可以用來驗(yàn)證TTP生成的密鑰對(duì)的正確性。

公私鑰對(duì)擁有者獲取私鑰擁有屬性安全證明可以獨(dú)立完成，或者與TTP合作完成。TTP獲取私鑰擁有

屬性安全證明需要與公私鑰對(duì)擁有者合作完成。簽名依賴方要么從TTP獲取私鑰擁有屬性安全證明，要

么與擁有者合作獲取證明。

私鑰擁有屬性安全證明獲取的時(shí)刻要盡可能精確地被記錄下來。這個(gè)證明時(shí)刻可以為其它依賴方判

斷該證明的證明水平提供依據(jù)。確定證明獲取的精確時(shí)刻可以有多個(gè)時(shí)間源。這些時(shí)間源的可信程度存

在差異。以下是一些可信程度依次降低的時(shí)間源：

1、由獲取私鑰擁有屬性安全證明的實(shí)體、實(shí)體所在的組織以及其它依賴各方所信任的TTP提供時(shí)

間戳作為時(shí)間源。

2、由獲取私鑰擁有屬性安全證明的實(shí)體認(rèn)可其精度的一個(gè)時(shí)鐘作為時(shí)間源。

3、由精度不可知的時(shí)鐘作為時(shí)間源。

無論采用何種時(shí)間源，都需要讓證明依賴方知道，以判斷證明獲取時(shí)間的可信性。

利用數(shù)字簽名獲取私鑰擁有屬性安全證明

可以用驗(yàn)證特定格式消息的數(shù)字簽名的方式來獲取私鑰擁有屬性安全證明。該方法適用于公私鑰對(duì)

擁有者、TTP或者其它依賴方獲得私鑰擁有屬性安全證明。

.1用于獲取私鑰擁有屬性安全證明的消息

當(dāng)采用數(shù)字簽名的方式獲得私鑰擁有屬性性安全證明時(shí)，獲取證明的實(shí)體將會(huì)被分配給一個(gè)擁有屬

性安全證明消息，簡(jiǎn)稱為證明消息。然后由私鑰擁有者對(duì)該消息進(jìn)行簽名，該簽名稱為證明簽名。

證明消息需要包括下列信息：

1、簽名者身份標(biāo)識(shí)。

2、潛在的驗(yàn)證者身份標(biāo)識(shí)。

3、時(shí)間戳令牌（TST），該TST由所有依賴方都信任的可信時(shí)間戳機(jī)構(gòu)（TTA）生成。TST可以由

簽名者從TTA獲取，也可以由潛在的驗(yàn)證者從TTA獲取，之后傳給簽名者。所有依賴方都必須

認(rèn)可TTA的簽名安全強(qiáng)度。TTA采用的簽名實(shí)現(xiàn)要符合或者超過對(duì)應(yīng)的標(biāo)準(zhǔn)要求。

和/或

一個(gè)驗(yàn)證者提供的nonce值。如果選擇了這個(gè)nonce值，則nonce值的隨機(jī)性要等于或者超過要

獲取證明的私鑰的隨機(jī)性。如果證明消息不包含TST，而依賴方又要求在驗(yàn)證證明簽名時(shí)，記

錄證明時(shí)間，則nonce值需要包含一個(gè)由驗(yàn)證者提供的時(shí)間戳，標(biāo)示該nonce值提供給證明消息

的時(shí)間。

6

GB/TXXXXX—XXXX

對(duì)于證明消息來說，以下信息不是必須的。但是以下信息的包括與否，要嚴(yán)格根據(jù)如下的描述決定：

4、獲取私鑰擁有屬性安全證明的私鑰對(duì)應(yīng)的公鑰。

如果生成證明簽名的簽名者能夠在獲取證明消息之前，成功展示公鑰，該公鑰信息可以從證明

消息中去除。

如果證明消息中包含TST，公鑰展示應(yīng)在TST標(biāo)示的時(shí)刻之前。如果沒有TST，公鑰展示應(yīng)在

nonce值中包含的時(shí)刻之前。如果沒有TST，并且nonce值中不包含時(shí)間，必須出示能夠被各方

信任的證據(jù)證明公鑰展示在證明簽名生成之前。

公鑰可以以一個(gè)包含時(shí)間戳的證書展示。CA通過簽發(fā)一個(gè)包含證明消息簽名者的身份標(biāo)識(shí)和對(duì)

應(yīng)公鑰信息的證書，來證實(shí)簽名者擁有公鑰。證書中包含時(shí)間戳信息，以證明公鑰展示的時(shí)刻

符合要求。CA的安全機(jī)制應(yīng)符合或超過對(duì)應(yīng)標(biāo)準(zhǔn)的要求。

公鑰還可以以簽名者此前簽發(fā)的一個(gè)簽名的方式展示。該簽名簽發(fā)所有的私鑰必須和要獲取證

明的私鑰一致，即可以用相同的公鑰驗(yàn)證。該簽名的簽發(fā)時(shí)間要早于證明消息發(fā)送給簽名者的

時(shí)間。

公鑰展示還可以在證明簽名驗(yàn)證者向簽名者提供nonce值之前，向驗(yàn)證者公開公鑰的方式實(shí)現(xiàn)。

如下附加信息可以包含在證明簽名簽發(fā)之后的證明消息里。

一個(gè)明確的標(biāo)識(shí)，表示該消息是用來獲取私鑰擁有屬性安全證明的。

證明簽名簽發(fā)者提供的nonce值，nonce值包含一個(gè)隨機(jī)部分，其隨機(jī)性不低于或者要高于獲取

證明的私鑰。

或其它的由證明簽名簽發(fā)者提供給驗(yàn)證者的數(shù)據(jù)。

任何只要包含了上述所需信息的消息，都可以用來作為證明消息。證明消息可以專門用于保障消息，

也可用于其它用途。證明消息被要獲取證明的私鑰進(jìn)行簽名生成證明簽名。證明簽名需要在TST，nonce

值或者以其它形式提供的時(shí)刻立即生成。

.2指定證明時(shí)間

在證明簽名成功驗(yàn)證后，需要給證明時(shí)間指定一個(gè)值。證明時(shí)間的指定受證明消息的格式影響，同

時(shí)也受包括證明簽名生成時(shí)間tG的t1和t2的選擇的影響。

如5.1.2，t1是超前或者等于證明簽名生成時(shí)刻的一個(gè)時(shí)間點(diǎn)。t1的幾種可能賦值如下：

如果證明消息中包括了來自依賴方信任的TTA的時(shí)間戳，則時(shí)間戳中的時(shí)間可以作為t1賦值的

候選。

如果證明消息中包含了驗(yàn)證者提供時(shí)間，例如，nonce值中包含的時(shí)間，則該時(shí)間可以作為t1賦

值的候選。

如果證明消息中包含一個(gè)驗(yàn)證者提供的nonce值，并且記錄了nonce值第一次提供給證明簽名簽

發(fā)者的時(shí)間，則該時(shí)間可以作為t1賦值的候選。

依賴方從上述的t1賦值候選中選擇他們認(rèn)為最可信的時(shí)間源為t1賦值。在可信程度相等的情況下，

應(yīng)該優(yōu)先選擇最晚的時(shí)間為t1賦值。

如5.1.2，t2是滯后或者等于證明簽名生成時(shí)刻的一個(gè)時(shí)間點(diǎn)。t2的幾種可能賦值如下：

如果證明簽名被包含在一個(gè)所有依賴方都信任的TTA簽發(fā)的一個(gè)TST中，則包含在TST中的時(shí)間

可以作為t2賦值的候選。

如果驗(yàn)證者記錄了證明簽名的接收時(shí)間，則該記錄的時(shí)間可以作為t2賦值的候選。

如果驗(yàn)證者記錄了證明簽名被驗(yàn)證的時(shí)間，則該記錄的時(shí)間可以作為t2賦值的候選。

依賴方從上述的t2賦值候選中選擇他們認(rèn)為最可信的時(shí)間源為t2賦值。在可信程度相等的情況下，

應(yīng)該優(yōu)先選擇最早的時(shí)間為t2賦值。

7

GB/TXXXXX—XXXX

如果證明簽名已被成功驗(yàn)證通過，并且依賴方已經(jīng)確定了證明時(shí)間的誤差精度d，則可以按照如下

的方法估計(jì)證明時(shí)間tA：

a)如果t2–t1≤d，并且t1可信度不小于t2，則應(yīng)選擇t1為證明時(shí)間tA。

b)如果t2–t1≤d，并且t1可信度小于t2，則應(yīng)選擇t2為證明時(shí)間tA。

c)如果t2–t1>d，則私鑰擁有屬性安全證明沒有獲得，也就不用賦值給證明時(shí)間tA。

如果證明簽名不能被驗(yàn)證通過，則私鑰擁有屬性安全證明沒有獲得，也就不用賦值給證明時(shí)間tA。

.3指定初始證明水平

證明簽名被驗(yàn)證通過和證明時(shí)間指定完成后，需要指定證明的初始水平。證明初始水平指定按如下

方法完成：

a)如果證明時(shí)間tA是從依賴方信任的TTA提供的TST中獲得，那么最初的證明水平被置于高。

b)如果證明時(shí)間tA不是從依賴方信任的TTA提供的TST中獲得，而是從證明簽名驗(yàn)證者提供的一個(gè)

精度被依賴方信任的時(shí)間源獲得，那么最初的證明水平被置于中。

c)如果證明時(shí)間tA不是從依賴方信任的TTA提供的TST中獲得，而是從證明簽名驗(yàn)證者提供的一個(gè)

時(shí)間源獲得，并且該時(shí)間源的精度對(duì)依賴方不可知，那么最初的證明水平被置于低。

通過密鑰再生獲取私鑰擁有屬性安全證明

密鑰再生可以由公私鑰對(duì)擁有者或者被提供公私鑰對(duì)的TTP完成。密鑰再生要在與原始密鑰對(duì)生成

環(huán)境不同的環(huán)境下，用不同于原始密鑰對(duì)生成方法的方法生成一個(gè)或者一對(duì)密鑰。在后續(xù)再次獲取私鑰

擁有屬性安全證明時(shí)，密鑰再生可以采用與第一次密鑰再生相同的環(huán)境和流程完成。私鑰擁有屬性安全

證明獲取只有在再生的密鑰與擁有者擁有的密鑰相同的情況下才能獲取。

密鑰再生的過程與具體的簽名算法相關(guān)，可以參考對(duì)應(yīng)的算法標(biāo)準(zhǔn)。

通過密鑰再生獲取私鑰擁有屬性安全證明，同樣需要指定證明時(shí)間和初始證明水平，具體過程參見

.2和.3。

普通簽名的私鑰擁有屬性安全證明確定

在正常操作中，需要判斷一個(gè)普通消息簽名所對(duì)應(yīng)的私鑰擁有屬性安全證明水平。普通消息一般不

會(huì)充分滿足5.1.3中的證明消息的各項(xiàng)要求?？梢杂煤灠l(fā)該普通消息簽名的私鑰的私鑰擁有屬性安全證

明來確定該普通消息簽名的安全證明水平。

普通消息簽名安全證明獲取可以在其對(duì)應(yīng)私鑰的私鑰擁有屬性安全證明的證明時(shí)間之前，同時(shí)或者

之后生成。

普通消息簽名的生成時(shí)間用ts表示。ts可能有一個(gè)確定的值，或者是一個(gè)取值范圍，或者是完全不

確定的一個(gè)值。如果ts有一個(gè)具有充分精度的值，并且對(duì)應(yīng)私鑰的私鑰擁有屬性安全證明已經(jīng)獲取，則

可以根據(jù)5.2.2中的時(shí)效模型，按照如下的方法確定該普通消息簽名的安全證明水平：

如果（tA-（a–d））≤ts≤（tA+（b–d）），那么該普通消息簽名的安全證明水平等于

獲取的私鑰擁有屬性安全證明的初始證明水平；

如果（tA+（b–d））≤ts≤（tA+（b–d）+c），那么該普通消息簽名的安全證明水平將從

最初狀態(tài)逐漸降低直至低水平；

ts>（tA+（b–d）+c），那么該普通消息簽名的安全證明水平為低。

如果ts沒有一個(gè)確定的值，則該普通消息簽名的安全證明水平被確定為低。

5.1.4具體的私鑰擁有屬性安全證明獲取流程

公私鑰對(duì)擁有者獲取私鑰擁有屬性安全證明

8

GB/TXXXXX—XXXX

公私鑰對(duì)擁有者可以用如下一種或多種方法獲取私鑰擁有屬性安全證明：

1、公私鑰對(duì)擁有者采用證明簽名獲取私鑰擁有屬性安全證明：

公私鑰對(duì)擁有者需要完成以下內(nèi)容：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)確定一個(gè)可信的t1值。

c)生成一個(gè)新的用于獲取私鑰擁有屬性安全證明的證明消息。

d)用要獲取證明的私鑰對(duì)證明消息簽名，生成證明簽名。

e)用對(duì)應(yīng)的公鑰驗(yàn)證證明簽名。

f)如果驗(yàn)證成功：

為t2確定一個(gè)可信的值；

如果t1≤t2≤t1+d，按照本標(biāo)準(zhǔn)前面的規(guī)定確定證明時(shí)間和初始證明水平。

2、公私鑰對(duì)擁有者采用證明簽名從TTP獲取私鑰擁有屬性安全證明：

a)公私鑰對(duì)擁有者要確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適

的a，b，c值的基礎(chǔ)上，確定d值。

如果TTP負(fù)責(zé)證明時(shí)間的分配，則d值要讓TTP知道。

b)公私鑰對(duì)擁有者和/或TTP要確定一個(gè)被公私鑰對(duì)擁有者信任的t1值。

c)公私鑰對(duì)擁有者生成一個(gè)新的用于獲取私鑰擁有屬性安全證明的證明消息。

d)公私鑰對(duì)擁有者用要獲取證明的私鑰對(duì)證明消息簽名，生成證明簽名。

e)公私鑰對(duì)擁有者將證明消息、證明簽名和其它必要的數(shù)據(jù)發(fā)送給TTP。

f)TTP用對(duì)應(yīng)的公鑰驗(yàn)證保障簽名。

g)如果驗(yàn)證通過：

需要通知公私鑰對(duì)擁有者，證明簽名驗(yàn)證成功；

公私鑰對(duì)擁有者和/或TTP要為t2確定一個(gè)擁有者信任的值；

如果t1≤t2≤t1+d，公私鑰對(duì)擁有者或者是TTP開始指定證明時(shí)間和初始證明水

平；

注：指定證明時(shí)間的實(shí)體必須要知道d值以及t1和t2；指定初始證明水平的實(shí)體必

須知道確定t1和t2值的方法；

公私鑰對(duì)擁有者要記錄證明時(shí)間和初始證明水平。

3、公私鑰對(duì)擁有者通過密鑰再生獲取私鑰擁有屬性安全證明：

公私鑰對(duì)擁有者需要完成以下內(nèi)容：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)確定一個(gè)可信的t1值。

c)選擇下面的一個(gè)操作：

重新生成要獲取證明的私鑰對(duì)應(yīng)的密鑰對(duì)；

重新生成要獲取證明的私鑰對(duì)應(yīng)的密鑰對(duì)中的一個(gè)密鑰。

d)對(duì)比重新生成的密鑰對(duì)（密鑰）值和目前擁有的密鑰值。

e)如果匹配成功：

為t2確定一個(gè)可信的值；

如果t1≤t2≤t1+d，指定和記錄證明時(shí)間，并且指定初始證明水平。

4、公私鑰對(duì)擁有者通過密鑰再生從TTP獲取私鑰擁有屬性安全證明：

9

GB/TXXXXX—XXXX

a)公私鑰對(duì)擁有者要確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適

的a，b，c值的基礎(chǔ)上，確定d值。

如果TTP負(fù)責(zé)證明時(shí)間值的指定，則d值要讓TTP知道。

b)公私鑰對(duì)擁有者和/或TTP要確定一個(gè)t1值，該值公私鑰對(duì)擁有者信任。

c)公私鑰對(duì)擁有者要提供其持有的密鑰以及任何其他必要的數(shù)據(jù)給TTP實(shí)體。

d)TTP實(shí)體：

重新生成要獲取證明的私鑰對(duì)應(yīng)的密鑰對(duì)；

或者重新生成要提供保護(hù)的私鑰對(duì)應(yīng)的密鑰對(duì)中的一個(gè)密鑰。

e)TTP對(duì)比重新生成的密鑰對(duì)（密鑰）值和擁有者目前擁有的密鑰值。

f)如果匹配成功：

應(yīng)通知公私鑰對(duì)擁有者比較成功；

公私鑰對(duì)擁有者和/或TTP要確定一個(gè)被公私鑰對(duì)擁有者信任的t2值；

如果t1≤t2≤t1+d，公私鑰對(duì)擁有者或者是TTP開始指定證明時(shí)間和初始證明水

平，

指定證明時(shí)間的實(shí)體必須要知道d值以及t1和t2；指定初始證明水平的實(shí)體必須知

道確定t1和t2值的方法；

公私鑰對(duì)擁有者要記錄證明時(shí)間和初始證明水平。

TTP從公私鑰對(duì)擁有者處獲取私鑰擁有屬性安全證明

TTP被要求提供私鑰擁有屬性安全證明給其它簽名依賴方時(shí)，必須實(shí)施一個(gè)明確的私鑰擁有屬性安

全證明獲取過程。該過程通過驗(yàn)證證明簽名的方式或者密鑰再生的方式從公私鑰對(duì)擁有者處獲得。在再

生密鑰的情況下，TTP必須承諾不使用擁有者的密鑰對(duì)知識(shí)生成數(shù)字簽名。這種信任必須由公私鑰對(duì)擁

有者，潛在簽名驗(yàn)證者，以及其它各依賴方共享。其中，使用證明簽名的方法是首選方法。

TTP使用如下一種或多種方法從公私鑰對(duì)擁有者處獲取私鑰擁有屬性安全證明：

1、TTP通過驗(yàn)證證明簽名的方法從公私鑰對(duì)擁有者處獲取私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基礎(chǔ)

上，確定d值。

b)公私鑰對(duì)擁有者生成一個(gè)新的私鑰擁有屬性安全證明的證明消息。

c)公私鑰對(duì)擁有者用要獲取證明的私鑰對(duì)證明消息簽名，生成證明簽名。

d)公私鑰對(duì)擁有者提供證明消息、證明簽名以及其他必要的數(shù)據(jù)給TTP。

e)TTP為t1確定一個(gè)可信的值。

f)TTP用要獲取證明的私鑰對(duì)應(yīng)的公鑰驗(yàn)證證明簽名。

g)如果驗(yàn)證成功：

TTP為t2確定一個(gè)可信的值；

如果t1≤t2≤t1+d，TTP開始指定證明時(shí)間和初始證明水平；

TTP記錄證明時(shí)間和初始證明水平，并且應(yīng)該將這些值也提供給公私鑰對(duì)擁有者。

2、TTP通過密鑰（密鑰對(duì)）再生的方法從公私鑰對(duì)擁有者處獲取私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)公私鑰對(duì)擁有者提供要獲取證明的密鑰信息，以及任何其他必要的數(shù)據(jù)給TTP。

c)TTP為t1確定一個(gè)可信的值。

d)TTP需要：

再生公私鑰對(duì)擁有者的整個(gè)密鑰對(duì)；

10

GB/TXXXXX—XXXX

或者再生公私鑰對(duì)擁有者的整個(gè)密鑰對(duì)中的一個(gè)密鑰。

e)TTP將生成的密鑰與公私鑰對(duì)擁有者原有的密鑰進(jìn)行對(duì)比。

f)如果e）中的比對(duì)結(jié)果相匹配：

TTP要為t2確定一個(gè)可信的值；

如果t1≤t2≤t1+d，TTP開始指定證明時(shí)間和初始證明水平，

TTP必須知道t1和t2值以及t1和t2值的確定方法；

TTP要記錄證明時(shí)間、初始證明水平和d值，這些值也應(yīng)提供給公私鑰對(duì)擁有者。

在響應(yīng)其它依賴方的證明請(qǐng)求時(shí)，TTP要將私鑰擁有屬性安全證明，連同證明時(shí)間和初始證明水平

一同提供給發(fā)起請(qǐng)求的依賴方。此外，TTP還可以向發(fā)起請(qǐng)求的依賴方提供在一個(gè)特定時(shí)刻的私鑰擁有

屬性安全證明的估計(jì)值，證明水平估計(jì)的方法參見5.1.2中的證明時(shí)效模型。

由TTP選擇的a，b，c和d的值，可能與其它請(qǐng)求私鑰擁有屬性安全證明的依賴方的信任標(biāo)準(zhǔn)不同。

如果是此種情況，則TTP應(yīng)當(dāng)（至少）準(zhǔn)備t2–t1值的上限（如，d）給潛在的依賴方，以及在確定上述

值時(shí)對(duì)采用的時(shí)間源進(jìn)行說明，從而使這些依賴方能夠判定TTP提供的證明時(shí)間值是否有足夠的精度（可

信度）以滿足他們的需要。

驗(yàn)證者獲取私鑰擁有屬性安全證明

驗(yàn)證者在接受數(shù)字簽名驗(yàn)證為有效之前，要獲得簽名者在生成簽名時(shí)，其簽名的私鑰的私鑰擁有屬

性安全證明。證明時(shí)間和初始證明水平需要驗(yàn)證者與簽名者或者TTP相互合作獲得。一旦通過標(biāo)準(zhǔn)流程

獲得證明后，以后任意時(shí)刻的簽名的證明水平，可以根據(jù)5.1.2中的證明時(shí)效模型估計(jì)得到。

驗(yàn)證者可以通過使用以下一種或多種方法獲取私鑰擁有屬性安全證明：

1、通過與公私鑰對(duì)擁有者合作，驗(yàn)證證明簽名，獲得私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)公私鑰對(duì)擁有者要提供新的證明消息、證明簽名和其它必要的數(shù)據(jù)給驗(yàn)證者。

c)驗(yàn)證者要為t1確定一個(gè)可信的值。

d)驗(yàn)證者用要獲取證明的私鑰對(duì)應(yīng)的公鑰驗(yàn)證證明簽名。

e)如果證明簽名驗(yàn)證通過：

驗(yàn)證者要為t2確定一個(gè)可信的值；

如果t1≤t2≤t1+d，驗(yàn)證者開始指定證明時(shí)間和初始證明水平；

驗(yàn)證者記錄證明時(shí)間和初始證明水平。

2、驗(yàn)證者通過與TTP合作獲得私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時(shí)效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)驗(yàn)證者向TTP索要私鑰擁有屬性安全證明。

如果TTP成功獲得了私鑰擁有屬性安全證明：

c)TTP要將獲取的證明時(shí)間、初始證明水平以及采用的證明獲取方法提供給驗(yàn)證者。

d)如果驗(yàn)證者需要，TTP還應(yīng)該提供t2-t1的上限值，t1、t2時(shí)間的獲得方法和/或在驗(yàn)證者驗(yàn)

證的簽名簽發(fā)時(shí)刻，TTP對(duì)證明的評(píng)估值。

e)驗(yàn)證者：

如果TTP提供的t2-t1的上限值>d，則拒絕TTP提供的私鑰擁有屬性安全證明，否

則，

記錄TTP提供的證明時(shí)間值和初始證明水平，和/或，

TTP在請(qǐng)求時(shí)刻對(duì)該證明的評(píng)估，和/或，

11

GB/TXXXXX—XXXX

t1，t2值獲得方法的描述，以幫助驗(yàn)證者判斷是否對(duì)證明水平進(jìn)行調(diào)整。

5.2公鑰有效性的安全證明獲取

公私鑰對(duì)擁有者和簽名驗(yàn)證者在生成和驗(yàn)證數(shù)字簽名時(shí)，獲得用于簽名生成和驗(yàn)證的公私鑰對(duì)中的

公鑰的有效性證明，可以提高簽名過程的安全性。根據(jù)用于簽名的公私鑰對(duì)的生成方式不同，可以有不

同的公鑰有效性安全證明獲取方法。公私鑰對(duì)的生成方式包括：由公私鑰對(duì)擁有者自己生成，由公私鑰

對(duì)擁有者和TTP合作生成，或者完全由TTP生成。

5.2.1擁有者的公鑰有效性安全證明獲取

公私鑰對(duì)擁有者可以通過以下方法獲得公鑰有效性的安全證明。其中，方法1或者2與方法3或者4

的結(jié)合可以獲得更為有效的安全證明。

1、公私鑰對(duì)由擁有者自己生成：擁有者采用認(rèn)定的方法生成公私鑰對(duì)。

2、公私鑰對(duì)由擁有者與TTP合作生成：擁有者在TTP的幫助下，采用認(rèn)定的方法生成公私鑰對(duì)。

3、擁有者采用明確的過程驗(yàn)證公鑰有效性：擁有者通過執(zhí)行一個(gè)明確的驗(yàn)證過程獲得公鑰有效性

的安全證明，具體的驗(yàn)證過程見5.1.3。

4、TTP采用明確的過程驗(yàn)證公鑰有效性：擁有者要收到證明，證明TTP確實(shí)通過一個(gè)明確的驗(yàn)證過

程獲得公鑰有效性的安全證明，具體的驗(yàn)證過程見5.1.3。TTP的驗(yàn)證結(jié)果要提供給擁有者。

5、公私鑰對(duì)由TTP生成：TTP生成公私鑰對(duì)，并將其提供給擁有者。如果采用了該方式，應(yīng)該采用

一個(gè)公鑰有效性的驗(yàn)證過程，驗(yàn)證過程可以是擁有者按照上述3的方法進(jìn)行，也可以是TTP按照

上述4的方法進(jìn)行。

擁有者或者其代理需要知道，具體采用了上述哪種方法來獲得公鑰有效性的安全證明，以確定獲得

的公鑰有效性安全證明是否滿足擁有者的要求。

5.2.2驗(yàn)證者的公鑰有效性安全證明獲取

簽名的驗(yàn)證者可以通過采用如下三種方法，獲取簽發(fā)者在簽名時(shí)所使用的公私鑰對(duì)中的公鑰有效性

的安全證明。其中，前兩種方法應(yīng)該優(yōu)先采用。

1、驗(yàn)證者采用明確的過程驗(yàn)證公鑰有效性：驗(yàn)證者通過執(zhí)行一個(gè)明確的驗(yàn)證過程獲得公鑰有效性

的安全證明，具體的驗(yàn)證過程見5.1.3。

2、TTP采用明確的過程驗(yàn)證公鑰有效性：驗(yàn)證者要收到證明，證明TTP確實(shí)通過一個(gè)明確的驗(yàn)證過

程獲得公鑰有效性的安全證明，具體的驗(yàn)證過程見5.1.3，TTP的驗(yàn)證結(jié)果要提供給驗(yàn)證者。

3、TTP重新生成公鑰：驗(yàn)證者要收到證明，證明TTP確實(shí)采用了一種可信的途徑生成或者重新生成

公鑰，并且驗(yàn)證了公私鑰對(duì)的一致性。

簽名驗(yàn)證者或其可信代理在進(jìn)行簽名驗(yàn)證之前，要知道采用了何種方法來獲取公鑰的有效性證明，

以確定這樣的證明是否能夠滿足驗(yàn)證者的要求。

5.2.3公鑰有效性驗(yàn)證過程

公鑰的有效性驗(yàn)證是通過一個(gè)明確的過程，檢查公鑰的數(shù)學(xué)特性是否符合要求。公鑰的有效性驗(yàn)證

過程不需要知道對(duì)應(yīng)的私鑰信息，因此，驗(yàn)證可以由任何人在任何地點(diǎn)進(jìn)行。具體驗(yàn)證過程與算法標(biāo)準(zhǔn)

關(guān)系密切，應(yīng)參考相應(yīng)的簽名算法標(biāo)準(zhǔn)實(shí)施。

6數(shù)字簽名的適時(shí)性證明獲取

時(shí)間信息是數(shù)字簽名中的一個(gè)重點(diǎn)關(guān)注因素。適時(shí)性是判斷一個(gè)數(shù)字簽名是否有效的重要依據(jù)之

12

GB/TXXXXX—XXXX

一。只有提供了足夠證明水平的數(shù)字簽名適時(shí)性證明，才能正確判斷一個(gè)簽名是否有效。合理地利用可

信時(shí)間戳機(jī)構(gòu)TTA提供的時(shí)間戳和/或簽名驗(yàn)證者提供的時(shí)間相關(guān)數(shù)據(jù)，可以獲取不同證明級(jí)別的數(shù)字

簽名適時(shí)性證明。TTA的建立和管理不在本標(biāo)準(zhǔn)的討論范圍內(nèi)。

6.1用從TTA獲取時(shí)間戳的方式獲取簽名適時(shí)性證明

從被簽名者和驗(yàn)證者信任的TTA獲取時(shí)間戳是獲取簽名適時(shí)性證明的一個(gè)重要方式。本節(jié)討論的內(nèi)

容旨在幫助讀者準(zhǔn)確確定從不同的時(shí)間戳方案可以得到什么樣的簽名適時(shí)性證明水平。

6.1.1符號(hào)定義

TTA是一個(gè)產(chǎn)生時(shí)間戳數(shù)據(jù)包（TSP）的可信實(shí)體。TSP由TTA發(fā)送，包括如下信息：

數(shù)字簽名（timestamp_signatureTTA）：由TTA的私鑰生成的數(shù)字簽名。

時(shí)間戳數(shù)據(jù)（timestamped_data）：生成數(shù)字簽名的依賴數(shù)據(jù)，包括用來精確、明確地表示

數(shù)字簽名timestamp_signatureTTA的生成時(shí)間的時(shí)間戳。

以下是關(guān)于TSP的具體定義：

其中，逗號(hào)用來分割不同的數(shù)據(jù)，而不是數(shù)據(jù)格式的一部分。

1、TSP=timestamped_data，timestamp_signatureTTA

其中，TSP由時(shí)間戳數(shù)據(jù)及其數(shù)字簽名構(gòu)成。數(shù)字簽名是由TTA的私鑰對(duì)時(shí)間戳數(shù)據(jù)的簽名。

2、timestamp_signatureTTA=SIGTTA(timestamped_data)

其中,數(shù)字簽名算法SIGTTA是一個(gè)使用在時(shí)間戳數(shù)據(jù)上的數(shù)字簽名操作，簽名私鑰為TTA的

數(shù)字簽名私鑰，該私鑰只被用于對(duì)時(shí)間戳數(shù)據(jù)生成數(shù)字簽名。

3、timestamped_data=user_supplied_info,TTA_supplied_info,timestamp

其中：

a)用戶提供信息user_supplied_info是一個(gè)實(shí)體在向TTA請(qǐng)求時(shí)間戳?xí)r，提供的信息；

user_supplied_info在實(shí)際應(yīng)用中可以為空。如果提供了此信息，該信息將被TTA在生成時(shí)間

戳簽名時(shí)使用，而不需要在傳遞時(shí)間戳數(shù)據(jù)包時(shí)返回給請(qǐng)求者。若使用了該信息，必須保

證在一個(gè)實(shí)體要驗(yàn)證timestamp_signatureTTA時(shí)，該信息是可見的。

b)TTA提供信息TTA_supplied_info是TTA在生成timestamp_signatureTTA時(shí)采用的額外信息。

TTA_supplied_info在實(shí)際應(yīng)用中可能為空。只要該部分信息能夠在驗(yàn)證

timestamp_signatureTTA簽名時(shí)，被重新生成，其中的任何一部分都可以從時(shí)間戳數(shù)據(jù)包中

刪除。

c)時(shí)間戳timestamp包含時(shí)間和（可能）的其他信息。

因此，由TTA生成的通用的TSP格式如下：

TSP=user_supplied_info,TTA_supplied_info,timestamp,SIGTTA(user_supplied_info,TTA_supplied_

info,timestamp)

其中，user_supplied_info和TTA_supplied_info可能為空。

6.1.2由TTA提供的用于獲取簽名適時(shí)性的時(shí)間戳

TTA可能廣播一個(gè)TSP或針對(duì)提出請(qǐng)求的實(shí)體回應(yīng)一個(gè)TSP。提出請(qǐng)求的實(shí)體和其他需要驗(yàn)證TTA

數(shù)字簽名的任何一方（例如，依賴方）必須知道TTA的數(shù)字簽名的安全強(qiáng)度。TTA數(shù)字簽名的安全強(qiáng)度

要能夠滿足提出請(qǐng)求的實(shí)體或依賴方的需求。

當(dāng)TTA廣播一個(gè)TSP時(shí)，TSP中的用戶提供信息為空，數(shù)字簽名timestamp_signatureTTA在TTA提供信息

（可能為空）和時(shí)間戳的基礎(chǔ)上產(chǎn)生，TSP隨后被組裝和廣播。在TTA提供信息中，被所有TSP的既定接

收者共知的部分可以從傳輸?shù)腡SP中刪除。

13

GB/TXXXXX—XXXX

當(dāng)一個(gè)實(shí)體請(qǐng)求一個(gè)時(shí)間戳?xí)r，請(qǐng)求實(shí)體提供用戶提供信息（可能為空）給TTA。數(shù)字簽名

timestamp_signatureTTA在用戶提供信息、TTA提供信息中（可能為空）和時(shí)間戳的基礎(chǔ)上生成。在生成簽

名的基礎(chǔ)上，將數(shù)字簽名timestamp_signatureTTA和時(shí)間戳數(shù)據(jù)組裝成一個(gè)TSP，然后發(fā)送給請(qǐng)求的實(shí)體。

被所有既定接收者共知的部分TTA提供信息，還有以其他方式告知驗(yàn)證實(shí)體的用戶提供信息，可以從返

回的TSP的時(shí)間戳數(shù)據(jù)域中刪除。

以下將用圖示和文字說明的方式，描述通過從TTA獲取時(shí)間戳的方式獲取簽名適時(shí)性證明的具體流

程。

6.1.3簽名者在簽名消息中用從TTA申請(qǐng)的時(shí)間戳提供簽名消息的適時(shí)性證明

對(duì)于一個(gè)實(shí)體A，有四種不同的方案使其從一個(gè)受信任的TTA獲得一個(gè)TSP，然后將TSP、消息（M）、

和簽名組合，并將其加入數(shù)據(jù)的有效載荷，發(fā)送到接收實(shí)體B，提供簽名消息的適時(shí)性證明。

在下面的方案中，簽名生成由實(shí)體A或者TTA采用一個(gè)認(rèn)定的數(shù)字簽名算法生成。SIGA()表示實(shí)體

A用其私鑰生成的簽名，SIGTTA()表示TTA使用其私鑰生成的簽名。SIGA()使用實(shí)體A的公開簽名驗(yàn)證密

鑰驗(yàn)證，SIGTTA()使用TTA的公開簽名驗(yàn)證密鑰驗(yàn)證。以下討論，假定實(shí)體A和B都已成功地驗(yàn)證所有收

到的簽名。各方案描述如下：

實(shí)體A向TTA提供用戶信息（可選的）獲得TSP

如圖3所示，實(shí)體A可以從TTA請(qǐng)求一個(gè)時(shí)間戳，或者實(shí)體A使用TTA廣播的時(shí)間戳（即，實(shí)

體A沒有明確地從一個(gè)TTA請(qǐng)求時(shí)間戳），提供數(shù)字簽名適時(shí)性證明。

1、圖3中的請(qǐng)求消息只有在一個(gè)實(shí)體明確地從TTA請(qǐng)求一個(gè)時(shí)間戳?xí)r才被發(fā)送。如果請(qǐng)求被發(fā)送，

請(qǐng)求消息包含期望的用戶提供信息user_supplied_info。

2、TTA發(fā)送TSP到實(shí)體A（或廣播一個(gè)TSP，隨后被實(shí)體A獲得），其中TSP定義同6.1.1。

如果實(shí)體A在第一步被發(fā)送了請(qǐng)求信息：

時(shí)間戳數(shù)據(jù)timestamped_data包含用戶提供信息user_supplied_info。

如果實(shí)體A沒有在第一步發(fā)送請(qǐng)求信息，即廣播TSP：

在TSP采用廣播的形式下，用戶提供信息為空。

如果實(shí)體A和TTA之間存在雙方協(xié)議，則下列信息可以從TTA傳輸?shù)腡SP數(shù)據(jù)中去除：

用戶提供信息user_supplied_info中的任何一部分信息可以被去除，如果實(shí)體A已經(jīng)知道該

信息；

TTA提供信息中TTA_supplied_info中的任何一部分信息可以被去除，只要實(shí)體A知道該信

息，或者該信息能夠被實(shí)體A確定。

但是，任何從發(fā)送的TSP數(shù)據(jù)中刪除的信息，必須要包含在生成/驗(yàn)證數(shù)字簽名

timestamp_signatureTTA時(shí)所用的時(shí)間戳數(shù)據(jù)中。

在接到從TTA發(fā)送的TSP時(shí)，實(shí)體A應(yīng)該：1）檢查傳輸?shù)牟糠钟脩籼峁┬畔ser_supplied_info

是否正確；2）使用TTA的公開簽名驗(yàn)證密鑰驗(yàn)證數(shù)字簽名timestamp_signatureTTA。

14

GB/TXXXXX—XXXX

圖3實(shí)體A向TTA提供用戶信息（可選的）獲得TSP

3、實(shí)體A簽名(M,TSP)，組裝數(shù)據(jù)D，并將其發(fā)送到實(shí)體B：

D=M,TSP,SIGA(M,TSP)，

其中，TSP同6.1.1中規(guī)定。

如果用戶提供信息中的任何一部分信息從來自TTA的TSP中被刪除，那么整個(gè)用戶提供信息要

在組建數(shù)據(jù)D時(shí)回填到TSP中，除非實(shí)體A和實(shí)體B存在相互協(xié)定，使得被刪除的部分能夠被實(shí)

體B知道或者重新生成。在存在部分信息刪除的情況下，整個(gè)用戶提供信息user_supplied_info

應(yīng)該包含在生成/驗(yàn)證數(shù)字簽名timestamp_signatureTTA和SIGA（M，TSP）所用的時(shí)間戳數(shù)據(jù)

timestamped_data中。

如果TTA提供信息TTA_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個(gè)

TTA提供信息要在組建D時(shí)回填到TSP中，除非實(shí)體A和實(shí)體B之間存在雙方協(xié)定，可以讓B能夠

確定出這些信息。在這種情況下，如果實(shí)體B已知或者可以確定TTA提供信息，那么它的任何部

分信息可以從實(shí)體A傳輸?shù)腡SP數(shù)據(jù)中刪除。然而，整個(gè)TTA提供信息TTA_supplied_info應(yīng)該包

含在生成/驗(yàn)證數(shù)字簽名timestamp_signatureTTA和SIGA（M，TSP）所用的時(shí)間戳數(shù)據(jù)

timestamped_data中。

4、在收到D時(shí)，實(shí)體B按照如下步驟進(jìn)行操作：

用TTA的公鑰驗(yàn)證數(shù)字簽名timestamp_signatureTTA；

用A的公鑰驗(yàn)證數(shù)字簽名SIGA(M,TSP)。

上述兩個(gè)步驟執(zhí)行的先后順序無關(guān)，重要的是，這兩個(gè)驗(yàn)證必須是成功的。

通過完成第4步的核查，實(shí)體B獲取如下證明：

a)消息M可能在收到TSP之前或者之后組裝。

b)數(shù)字簽名SIGA(M,TSP)在TSP中的時(shí)間戳表示的時(shí)間之后被生成。

c)D在TSP中的時(shí)間戳表示的時(shí)間之后被組裝。

如果需要一個(gè)更為精確的SIGA(M,TSP)生成時(shí)間證明，第二個(gè)可信的時(shí)間戳是必要的，見6.1.4。

實(shí)體A向TTA提供消息M的Hash值獲得TSP

如圖4所示，實(shí)體A可以在向TTA請(qǐng)求時(shí)間戳?xí)r，提供M的Hash值。用H表示生成的M的Hash

值。

1、實(shí)體A在向TTA的時(shí)間戳請(qǐng)求中發(fā)送H，即用戶提供信息由H和其它信息other_info組成。其中，

other_info可能空。

2、TTA向?qū)嶓wA回送一個(gè)TSP：

15

GB/TXXXXX—XXXX

TSP由時(shí)間戳數(shù)據(jù)及其數(shù)字簽名組成。與方案不同的是，用戶提供信息user_supplied_info

中包括了消息M的Hash值H。

如果實(shí)體A和TTA之間存在雙方協(xié)定，下列消息可以從傳送的TSP數(shù)據(jù)中去除：

user_supplied_info的任何部分信息可以被刪除，只要實(shí)體A已知該信息；

TTA_supplied_info的任何部分信息可以被刪除，只要實(shí)體A已知該信息，或者能夠被實(shí)體A

確定；

雖然這些信息可以從TSP傳輸信息中被刪除，但完整的user_supplied_info和TTA_supplied_info

要被包括在timestamped_data中，用于生成如下的簽名及其驗(yàn)證：

timestamp_signatureTTA=SIGTTA(timestamped_data).

在收到從TTA中發(fā)送的TSP時(shí)，實(shí)體A應(yīng)該：1）檢查傳送的用戶信息是否正確；2）用TTA的

公鑰驗(yàn)證timestamp_signatureTTA；

圖4實(shí)體A向TTA提供M的Hash值獲得TSP

3、實(shí)體A簽名(M,TSP),組裝D，并將其發(fā)送到實(shí)體B：

D=M,TSP,SIGA(M,TSP)

其中，TSP在第2步中規(guī)定。

如果user_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個(gè)

user_supplied_info要在組建D時(shí)回填到TSP中，除非實(shí)體A和實(shí)體B存在雙方協(xié)定，使得B可以確

定這些信息。一般情況下，D中傳輸?shù)腡SP中的下列信息可以被刪除：

H可以被刪除，因?yàn)樗梢员粚?shí)體B（重新）計(jì)算得到；

任何在user_supplied_info中的other_info，只要能夠被B知道或者確定則可以被刪除；

但整個(gè)user_supplied_info應(yīng)該包含在生成/驗(yàn)證timestamp_signatureTTA和SIGA（M，TSP）所用

的timestamped_data中。

如果TTA_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個(gè)

TTA_supplied_info要在組建D時(shí)回填到TSP，除非實(shí)體A和實(shí)體B存在雙方協(xié)定，可以讓B能夠確

定出這些信息。在這種情況下，如果實(shí)體B已知或者可以決定TTA_su