信息技術(shù)安全技術(shù)抗抵賴第2部分：采用對稱技術(shù)的機

制

1范圍

本部分規(guī)定了抗抵賴服務的通用結(jié)構(gòu)，以及一些特定的、與通信有關(guān)的抗抵賴機制，用

于提供原發(fā)抗抵賴（NRO）與交付抗抵賴（NRD）等。

本部分適用于信息系統(tǒng)中實現(xiàn)采用對稱技術(shù)的消息抗抵賴相關(guān)應用的設(shè)計、實現(xiàn)與測試。

抗抵賴服務旨在生成、收集、維護、利用和驗證有關(guān)已聲稱事件或動作的證據(jù)，以解決有關(guān)

該事件或動作已發(fā)生或未發(fā)生的爭議。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的，凡是注FI期的引用文件，僅所注R期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T15852（所有部分）信息技術(shù)安全技術(shù)消息鑒別碼

GB/T17903.1信息技術(shù)安全技術(shù)抗抵賴第1部分：概述

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T17903.1中定義的以及下列術(shù)語和定義適用于本文件。

3.1

密碼校驗函數(shù)cryptographiccheckfunction

以秘密密鑰和任意字符串作為輸入，并以密碼校驗值作為輸出的密碼變換。不知道秘密

密鑰就不可能正確計算校驗值。

[GB/T25069-2010,定義2.2.2.101]

3.2

數(shù)據(jù)完整性dataintegrity

數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性。

[GB/T25069-2010,定義2.1.36]

3.3

證據(jù)生成者evidencegenerator

產(chǎn)生抗抵賴證據(jù)的實體。

[GB/T18794.4,定義3.4.4]

3.4

雜湊函數(shù)hashfunction

將比特串映射為固定長度的比特串的函數(shù)，該函數(shù)滿足下列兩特性：

——對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的；

一一對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的。

注1：計算上的可行性取決于特定安全要求和環(huán)境。

注2：在本部分中，雜湊函數(shù)的輸出的比特串稱為雜湊碼。

[GB/T25069-201（）,定義2.2.2.166]

3.5

密鑰key

一種用于控制密碼變換操作（例如加密、解密、密碼校驗函數(shù)計算、簽名生成或簽名驗

證）的符號序列。

[GB/T25069-2010,定義2.2.2.106]

3.6

消息鑒別碼算法MACaIgorithm

一種帶密鑰的密碼算法，用于將比特串和秘密密鑰映射為定長比特串的函數(shù)，并滿足以

下兩種性質(zhì)：

一一對任意密鑰和任意輸入串，該函數(shù)都能有效進吁計算；

一一對任一固定的密鑰，該密鑰在未知情況下，即便已知輸入串集合中的第i個輸入串

和對應的函數(shù)值，且串集合中的第i個輸入串值在觀測前面的第iT個函數(shù)值之后

可能已經(jīng)選定，要算出該函數(shù)對任意新輸入串的值在計算上是不可行的。

[GB/T25069-2010,定義2.2.2.201]

3.7

消息鑒別碼messageauthenticationcode

MAC

消息鑒別碼算法的輸出的比特串。

[GB/T25069-2010,定義2.2.2.200]

3.8

秘密密鑰secretkey

用于對稱密碼技術(shù)中的一種密鑰，并僅有一組規(guī)定實體所使用。

[GB/T25069-2010,定義2.2.2.90]

3.9

安全策略securitypolicy

用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護和分發(fā)資產(chǎn)（包括敏感信息）的一組

規(guī)則、指導和實踐，特別是那些對系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。

[GB/T25069-2010,定義2.3.2]

3.10

時間戳time-stamp

包含通用時間源，描述某個時間點的時間變量參數(shù)。

3.11

時間戳機構(gòu)time-stampauthority

提供時間戳服務的可信第三方。

4縮略語

下列縮略語適用于本文件。

DA：交付機構(gòu)(DeliveryAuthority)

GNRT：通用抗抵賴權(quán)標(GenericNon-RepudiationToken)

NRD：交付抗抵賴(Non-RepudiationofDelivery)

NRDT：交付抗抵賴權(quán)標(Non-RepudiationofDeliveryToken)

NRO：原發(fā)抗抵賴(Non-RepudialionofOrigin)

NROT：原發(fā)抗抵賴權(quán)標(Non-RepudiationofOriginToken)

Po1；抗抵賴策略(NonRepudiationpolicy)

PON：肯定或否定,驗證過程的結(jié)果(PositiveOrNegative)

SENV：安全信封(SecureENVelope)

TSA：可信時間戳機構(gòu)(trustedTimeStampAuthority)

TST：時間戳權(quán)標(Time-StampingToken)

TTP：可信第三方(TrustedThirdParty)

5符號

GB/T17903.1中定義的以及下列符號適用于本部分：

a僅為實體A和可信第三方(TTP)所知的密鑰

b僅為實體B和可信第三方(TTP)所知的密鑰

da交付機構(gòu)(DA)的密鑰

MACx(y)使用實體X的私密密鑰對數(shù)據(jù)y計算得到的消息鑒別碼

ttp僅為TTP所知的密鑰，用于生成抗抵賴權(quán)標

Pol應用于證據(jù)的抗抵賴策略的可區(qū)分標識符

SENVC)用來計算安全信封的函數(shù)

TSATSA的可區(qū)分標識符

TTPTTP的可區(qū)分標識符

(y,z)y和z按順序的連接

z.由提供NRO權(quán)標的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段

Z2由提供NRD權(quán)標的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段

6要求

本部分中，凡涉及密碼算法的相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實施：凡涉及到采用密碼技術(shù)

解決保密件、完整件、直賣件、不可否認性需求的須遵循密碼相美國家標準和行'IH示洋.

本部分中規(guī)定的機制均應滿足以下通用要求：

——使用抗抵賴機制的各相關(guān)實體應能夠獨立與DA、TSA或TTP進行通信；

一一如果兩個實體使用本部分中規(guī)定的某個抗抵賴機制，雙方應信任同一個第三方；

——在使用本部分規(guī)定的抗抵賴機制前，每個實體均應與DA、TSA或TTP建立一個共享

的對稱密鑰。此外，每個DA、TSA或TTP實體均應持有一個僅為自己所知的密鑰；

注：密鑰管理、密鑰生成及密鑰建立機制可參見GB/T17901.1等相關(guān)的國家標準或密㈣行業(yè)標準及

ISO/IEC11770。

一一抗抵賴服務中的所有實體應共享一個公共函數(shù)Imp；

——為創(chuàng)建安全信封而選取的MAC函數(shù)應為抗抵賴服務的所有參與者所持有：

一生成抗抵賴權(quán)標的TTP應能夠訪問時間和口期。

本部分規(guī)定的抗抵賴機制的強度依賴于所使用的密碼學機制和參數(shù)的安全級別和強度。

注：本部分不規(guī)定抗抵賴機制中數(shù)據(jù)項的具體傳輸機制，抗抵賴機制的使用者可根據(jù)業(yè)務的安全需求

來選擇適當?shù)臋C制，以確保使用抗抵賴機制的各實體間可以對數(shù)據(jù)項進行一致的解析。

7安全信封

共享一個秘密密鑰的兩個實體(該密鑰僅為這兩個實體所知)可以使用一種稱為安全信

封(SENV)的數(shù)據(jù)完整性校驗方法來相互傳遞消息。SENV可以通過使用實體的秘密密鑰來產(chǎn)

生，用于保護輸入數(shù)據(jù)項。此外，SENV也可以由HP使用僅為TTP持有的秘密密鑰來產(chǎn)生，用

于生成和驗證證據(jù)。

下面使用對稱的完整性技術(shù)來創(chuàng)建安全信封。實體X的秘密密鑰x用于計算密碼校驗值

MACx(y),該值附加在數(shù)據(jù)的后面,即：

SENVx(y)=(y,MAQ(y))

其中MACMy)應為滿足GB/T15852要求的消息鑒別碼。

注：本部分規(guī)定的安全信封的強度依賴于所使用的密碼學機制和參數(shù)的安全級別和強度，抗抵賴機制

的使用者可根據(jù)業(yè)務的安全需求來選擇適當?shù)臋C制，GB/T15852中給出了各種消息鑒別碼機制安

全性的說明。

8抗抵賴權(quán)標的生成與驗證

8.1TTP創(chuàng)建權(quán)標

在本章描述的抗抵賴機制中，HP擔當證據(jù)生成和證據(jù)驗證機構(gòu)的角色。TTP可信賴地維

護特定記錄的完整性并直接參與解決爭議。

TTP頒發(fā)與消息ni相應的“權(quán)標”。權(quán)標包括一個安全信封，由HP使用其秘密密鑰作用

于該消息所確定的數(shù)據(jù)而形成。因為其它實體都不知道秘密密鑰rip,TTP是啡一可以位建或

者驗證權(quán)標的實體。在GB/T17903.1+,通用抗抵賴權(quán)標(GNRT)定義如下：

GNRT=(text,SENV：(y))

在本場景中，即:

GNRT=(text,SENVn-(y))

此外，在發(fā)布權(quán)標之前，TTP應檢查證據(jù)請求中的數(shù)據(jù)項。

注1：消息m可以是明文或密文。

注2：text為文本域，包括一些不需要密碼學保護但在計算完整性校驗值MAC和安全信封SENV時要用

到的，或用于標識消息和密鑰的附加數(shù)據(jù)(如消息標識符或密鑰標識符)。本信息依賴丁?所使用

的技術(shù)。

8.2抗抵賴機制使用的數(shù)據(jù)項

8.2.1安全信封使用的數(shù)據(jù)項

在本部分描述的抗抵賴機制中，將對安全信封SENVx(z)=(z,MACx(z))進行交換，下列

數(shù)據(jù)字段構(gòu)成了該安全信封的內(nèi)容：

z=(Pol,fi,A,B,C,D,E,TG,Ti,Q,Imp(m))

數(shù)據(jù)域z中包含的數(shù)據(jù)項定義如下：

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標識符

自提供的抗抵賴服務的類型

A原發(fā)實體的可區(qū)分標識符

B與原發(fā)實體進行交互的實體的可區(qū)分標識符

C證據(jù)生成者的可區(qū)分標識符

D證據(jù)請求者的可區(qū)分標識符，如果證據(jù)請求者與原發(fā)實體不同

E動作涉及到的其他實體的可區(qū)分標識符

TG證據(jù)生成的日期與時間

Ti事件或動作發(fā)生的日期與時間

Q需要保護的可選數(shù)據(jù)

Imp(m)與動作有美的消息m的印記，即1)m的雜湊碼，或2)m本身

注：在本部分中，根據(jù)抗抵賴服務的不同，i的值為1(原發(fā)抗抵賴)或2(交付抗抵賴).

8.2.2抗抵賴權(quán)標使用的數(shù)據(jù)項

抗抵賴權(quán)標包括一個文本域text與一個安全信封，定義如下：

抗抵賴權(quán)標二(text：SENVnP(z))

注：文本域包括一些不錯要密碼學保護但在計算完整性校驗值MAC和安全信封SENV時要用到的，或用

于標識消息和密鑰的附加數(shù)據(jù)(如消息標識符或密鑰標識符)。本信息依賴于所使用的技術(shù)。

8.3抗抵賴權(quán)標

8.3.1證據(jù)提供

證據(jù)通常由抗抵賴權(quán)標提供，如果策略要求，也可以由附加權(quán)標提供，例如：時間戳權(quán)

標(TST)、或由另一個可信的第四方(如公證人)提供的對事件和動作以及消息的存在性

給予附加保證的權(quán)標等。

如果可信第三方可以獨自生成可信時間戳，則不需要增加TST作為證據(jù)。

注1：抗抵賴權(quán)標(NROT.NRDT)中包含的時間可認為是安全可靠的，因為它是由可信機構(gòu)提供的。

注2：如果可信第三方(TTP、DA)不能提供可信時間戳，那么抗抵賴集合中就需要增加由可信時間戳

機構(gòu)(TSA)提供的TST以完成證據(jù).

8.3.2原發(fā)抗抵賴權(quán)標

原發(fā)抗抵賴權(quán)標(NRDT)由TTP應原發(fā)者的請求而創(chuàng)建，其格式如下：

NR0T=(text,Zi,MACm(z1))，其中

zi=(Pol,fi,A,B,C,D,TG,Ti,Q,Imp(m))

NROT所需信息zi中包含的數(shù)據(jù)項定義如下：

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標識符

f,原發(fā)抗抵賴服務的標記

A原發(fā)者的可區(qū)分標識符

B預定接收者的可區(qū)分標識符

C生成證據(jù)的TTP的可區(qū)分標識符

D觀察者的可區(qū)分標識符，如果存在獨立觀察者

TG證據(jù)生成的日期與時間

T.消息原發(fā)的日期與時間

Q需要保護的可選數(shù)據(jù)

Imp(m)與動作有關(guān)的消息ni的印記，即1)m的雜湊碼，或2)m本身

8.3.3交付抗抵賴權(quán)標

交付抗抵賴權(quán)標(NRDT)由TTP應接收者的請求而創(chuàng)建，其格式如F：

NRDT=(text,z2,MACnp(z2)),其中

Z2=(Pol,f2,A,B,C,3,TG,T2,Q,Imp(m))

NRDT所需信息Z2中包含的數(shù)據(jù)項定義如下：

Pol適用于證據(jù)的抗抵賴策略的可區(qū)分標識符

f2交付抗抵賴服務的標記

A原發(fā)者的可區(qū)分標識符

B接收者的可區(qū)分標識符

CTTP的可區(qū)分標識符

D觀察者的可區(qū)分標識符，如果存在獨立觀察者

TG證據(jù)生成的日期與時間

T2消息交付的日期與時間

Q需要保護的可選數(shù)據(jù)

Imp(m)與動作有關(guān)的消息m的印記，即1)m的雜湊碼，或2)m本身

8.3.4時間戳權(quán)標

時間戳權(quán)標TST可由可信時間戳機構(gòu)(TSA)使用GB/T20520中的方法生成。

8.4TTP進行的權(quán)標驗證

8.4.1驗證過程

在抗抵賴交換過程的某個環(huán)節(jié)上，可能需要TTP對實體的權(quán)標(如上定義所示)進行驗

證。在交換完成以后的某個時刻，也可能需要再次驗證權(quán)標，或者向第四方提供證據(jù)以證明

其真實性。

驗證過程不僅要檢驗權(quán)標是否由TTP創(chuàng)建，而且要檢驗權(quán)標是否與消息的數(shù)據(jù)字段確切

相關(guān)。為了驗證權(quán)標是否為給定的消息而創(chuàng)建，實體把由消息計算而得的Imp(m)與數(shù)據(jù)字段

7.中包括的1即(m)進行比較,然后要求TTP對權(quán)標及其數(shù)據(jù)字段進行驗證。

為了驗證由對稱完整性技術(shù)生成的安全信封，應進吁如下操作：使用實體X的相應秘密

密鑰x對安全信封中包含的數(shù)據(jù)y重新計算密碼校驗值MAG(y),然后把結(jié)果與所提供的密碼

校驗值進行比較。

TTP應使用8.4.2與8.4.3中定義的兩種驗證方法之一進行驗證.

8.4.2在線權(quán)標驗證

本方法中，TTP使用包含秘密密鑰lip的安全模塊來驗證權(quán)標。安全模塊將該權(quán)標與使用

數(shù)據(jù)項z,和秘密密鑰ttp在其內(nèi)部生成的值進行比較，并返回比較結(jié)果，該結(jié)果決定了權(quán)標

是否有效。由于密鑰ttp不為TTP之外的任何人所知，如果安全模塊返回的結(jié)果表明該權(quán)標是

有效的，那么所驗證的權(quán)標也可以認為是真實可信的。

8.4.3權(quán)標表

本方法中，TTP發(fā)布的所有權(quán)標儲存在一張表中。對每個已創(chuàng)建的權(quán)標，TTP記錄下

權(quán)標和相關(guān)的數(shù)據(jù)字段（Zi）以及秘密密鑰tip的密鑰標識符。要驗證一個權(quán)標，TTP把該

權(quán)標作為索引在標準查找，如果在表中能夠找到要驗證的權(quán)標，而且該權(quán)標所帶的數(shù)掂字段

（即權(quán)標的一部分）與表中對應的數(shù)據(jù)字段相符，則認為該權(quán)標是真實可信的。

9特定抗抵賴機制

9.1抗抵賴機制

本章規(guī)定的抗抵賴機制支持生成下列抗抵賴證據(jù):原發(fā)抗抵賴（MRO）、交付抗抵賴（NRD）。

另外，本章定義了時間戳的生成機制。當實體A想要向?qū)嶓wB發(fā)送消息，則實體A稱為抗抵賴

傳輸?shù)脑l(fā)者，實體B稱為接收者。本章規(guī)定的抗抵賴機制的實例可參見附錄A。

8章所描述的某些機制中，使用到了數(shù)據(jù)字段Zi。這一數(shù)據(jù)字段除了不包含時間信息外

與抗抵賴權(quán)標中的Zi數(shù)據(jù)字段完全一致。時間信息由TTP（或DA）提供，或者由可信時間戳

機構(gòu)應HP（或DA）的請求而提供。

注：當lmp（m）即消息m本身時，不必將m與權(quán)標一起發(fā)送，并且驗證Imp（m）的步驟也可行略。

9.2原發(fā)抗抵賴機制

9.2.1步驟與機制

原發(fā)者創(chuàng)建了一條消息并發(fā)送給特定的接收者。接收者使用HP來驗證與之相關(guān)的原發(fā)

抗抵賴權(quán)標，從而檢驗該消息來源于其聲稱的發(fā)送者。

本機制包含三個步驟：第一步，原發(fā)者構(gòu)造數(shù)據(jù)并封裝入SENV發(fā)送給HP。TTP生成原發(fā)

抗抵賴權(quán)標（NROT）并返回給A；第一步，原發(fā)者A將NROT與消息m發(fā)送給接收者B；第三步，

接收者把安全信封中封裝的NROT發(fā)送給TTP進行驗證。原發(fā)抗抵賴在第三步建立。

9.2.2權(quán)標生成

9.2.2.1步驟1一原發(fā)者A與TTP間

a）實體A使用密鑰a生成安全信封SENVKzJ），其中z/同8.3.2規(guī)定的z1，但數(shù)據(jù)項

TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；

b）TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成zi,并使

用密鑰tip計算：

NROT=（text,Zi,MACA（ZI））

然后將SENVA（NROT）返回給A；

c）實體A驗證SENVA（NROT）來自TTP,且其中的z.內(nèi)容與z/相一致。

9.2.2.2步驟2—原發(fā)者A到接收者B

實體A向?qū)嶓wB發(fā)送：（叫NROT）。

9.2.2.3步驟3一接收者B與TTP間

a)實體B執(zhí)行以下驗證操作：校驗zi中的策略Pol滿足其安全要求；校驗z,中的f,

標示了原發(fā)抗抵賴權(quán)標；校驗標識符A,B,C有效；校驗標識符D為實際存在的獨立

觀察者；校驗時訶TG與「的正確性；校驗乙中Imp(m)值的正確性。

b)實體B使用密鑰b生成SENVB(NROT)并發(fā)送給TTP,要求驗證來自A的NROT；

c)TTP驗證SENVMNROT)來自B,并驗證NROT是真實可信的。如果SEN%(NROT)是有效

的，TTP向B發(fā)送SENVB((PON,NROT)),其中:如果NROT是真實可信的，PON為肯

定，如果NROT不可信，則PON為否定；

d)實體B檢驗SEN%((PON,NROT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，

則建立了原發(fā)抗抵賴(即，消息來自A)：

e)儲存NROT以供將來原發(fā)抗抵賴使用。

9.2.3權(quán)標驗證

若證據(jù)使用者B在未來的某時刻需要再次驗證NROT的真實可信性，則其可以單獨執(zhí)行

9.2.2.3節(jié)中規(guī)定的步驟3來完成驗證。

9.3交付抗抵賴機制

9.3.1步驟與機制

本機制包含三個步驟：第一步，實體B在接收到消息m后，向HP發(fā)送請求以要求生產(chǎn)交

付抗抵賴權(quán)標，該請求封裝在安全信封中，TTP生成交付抗抵賴權(quán)標(NRDT),并返回給接

收者B：第二步，接收者B將NRDT發(fā)送給原發(fā)者A；第三步，原發(fā)者將NRDT封裝在安全信封發(fā)

送給TTP進行驗證。交付抗抵賴在第三步建立。

9.3.2權(quán)標生成

9.3.2.1步驟1一接收者B與TTP間

,

a)實體B使用密鑰b生成安全信封SENVB(Z2),其中Z2,同8.3.3規(guī)定的Z2,但數(shù)據(jù)項

TG為空。實體B把安全信封發(fā)送給TTP以請求NRDT；

b)TTP驗證安全信封來自實體Bo如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z2,并使

用密鑰ttp計算：

NRDT=(text,Z2,MACRGZ))

然后將SEN%(NRDT)返回給B；

c)實體B驗證SENVB(NRDT)來自TTP,且其中的Z2內(nèi)容與Z2'相一致。

9.3.2.2步驟2一接收者B到原發(fā)者A

實體B向?qū)嶓wA發(fā)送：NRDT。

9.3.2.3步驟3—原發(fā)者A與TTP間

a)實體A執(zhí)行以下驗證操作：校驗Z2中的策略Pol滿足其安全要求；校驗Z2中的f2

標示了交付抗抵賴權(quán)標；校驗標識符A,B,C有效；校驗標識符D為實際存在的獨立

觀察者；校驗時訶TG與T?的正確性；校驗Z2中Imp(m)值的正確性。

b)實體A使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP,要求驗證來自B的NRDT；

c)TTP驗證SENVKNRDT)來自A,并驗證NRDT是真實可信的。如果SENVKNRDT)是有效

的，TTP向A發(fā)送SENVA((PON,NRDT)),其中:如果NRDT是真實可信的,PON為肯

定，如果NROT不可信，則PON為否定；

cl）實體A檢驗SENVA（（PON,NRDT））來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定,

則建立了交付抗抵賴；

e）儲存NRDT以供將來交付抗抵賴使用。

9.3.3權(quán)標驗證

若證據(jù)使用者A在未來的某時刻需要再次驗證NRDT的真實可信性，則其可以單獨執(zhí)行

9.3.2.3節(jié)中規(guī)定的步驟3來完成驗證。

9.4獲取時間戳權(quán)標的機制

當可信時間源被請求且權(quán)標生成方的時鐘無法被信任時，需要依賴于可信第三方的TSA

來提供可信時間戳。

實體X（請求者）與TSA之間獲取時間戳的通信可參見GB/T205200

附錄A

附錄B(資料性附錄)

附錄C抗抵賴機制實例

C.1原發(fā)抗抵賴與交付抗抵賴機制實例

本附錄所示的抗抵賴機制可在實體A和B之間提供原發(fā)抗抵賴和交付抗抵賴。實體A欲向

實體B發(fā)送消息、，于是成為抗抵賴交換的原發(fā)者。作為消息的接收方，實體B就是接收者。在

使用下列機制之前，假設(shè)實體A和實體B分別持有密鑰a和b,TTP除了擁有自己的密鑰ttp以外,

還持有密鑰a和b。

下面給出了使用在線TTP的三種不同的抗抵賴機制(Ml、M2和M3)。

注1：通過在SENV消息中包含時間戳或序列號，可以防止未授權(quán)延遲或消息重放。通過在NKOT和NKDT

中包含時間戳，可注一步驗證消息傳輸時的時間戳。

注2:當Imp(m)即消息m本身時，不必將m叮權(quán)標一起發(fā)送，并且驗證Imp(m)的步驟也可省略。

C.2機制M1：強制NRO,可選NRD

C.2.1機制M1的步驟

機制Ml見圖A.1,共包含5個步驟，在兩個實體與TTP之間通過3個步驟建立原發(fā)抗抵賴,

如果繼續(xù)可選的NRD步驟(根據(jù)接收者的決定)，那么可通過再執(zhí)行2個步驟建立交付抗抵賴。

注1：盡管是否繼續(xù)進行交付抗抵賴的步驟取決于接收者，但要注意，一旦建立了交付抗抵賴，這一可

選的交付抗抵賴就完全綁定了。

注2：本機制可以提供原發(fā)抗抵賴并可選地提供交付抗抵賴。該協(xié)議的用法(僅提供原發(fā)抗抵賴或同時

提供原發(fā)抗抵賴和交付抗抵賴)由發(fā)送者A、接收者B和TTP在具體協(xié)議執(zhí)行前商定。

C.2.2步驟1—原發(fā)者A與TTP間

a)實體A使用密鑰a生成安全信封SEN%(zJ),其中zj同8.3.2規(guī)定的z”但數(shù)據(jù)項

TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗證安全信對來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成打，并使

用密鑰ttp計算：

NROT=(text,zi,MACTTP(ZI))

然后將SEN%(NROT)返回給A；

c)實體A驗證SEN%(NROT)來自TTP.

(3.b)

(5.a)SENVA(NRDT)

(5.b)SENVA((PON,NRDT))

圖A.1機制M1

C.2.3步驟2原發(fā)者A到接收者B

實體A向?qū)嶓wB發(fā)送：(m,NROT)o

C.2.4步驟3一接收者B與TTP間

a)實體B驗證z.中Imp(m)值的正確性。然后使月密鑰b生成安全信封SENVB(NROT)

和SENVB(Z2'),其中z一同8.3.3規(guī)定的Z2,但數(shù)據(jù)項TG為空。實體B把上述安全

信封發(fā)送給TTP以要求驗證來自A的NROT并請求生成NRDT；

b)TTP驗證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗證SENV?(z/)來自實體B。

如果驗證通過，TTP插入數(shù)據(jù)項TG以完成Z2,并計算：

NRDT=(text,Z2,MACTI“Z2))

如果SENVR(NROT)與NROT均是真實可信的,則TTP使用密鑰ttp計算并向B發(fā)送

SENVB((PON,NROT,NRDT)),其中PON為肯定。如果SENVB(NROT)有效但NROT不可信,

TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT)),其中PON為否定；

c)實體B檢驗SENVK((PON,NROT,NRDT))來自TTP：若檢驗通過，并且驗證結(jié)果PDN為

肯定，則建立了原發(fā)抗抵賴(即，消息來自A)；

d)儲存NROT以供招?來原發(fā)抗抵賴使用。

C.2.5步驟4一接收者B到原發(fā)者A

實體B向?qū)嶓wA發(fā)送：NRDTo

C.2.6步驟5—原發(fā)者A與TTP間

a)實體A校驗*中Imp(m)值的正確性。然后使月密鑰a生成SENV.(NRDT)并發(fā)送給

TTP,要求驗證來自B的NRDT；

b)TTP驗證SENVKNRDT)來自A,并驗證NRDT是真實可信的。如果SEW.dNRDT)是有效

的，TTP向A發(fā)送SENVA((PON,NRDT)),其中：如果NRDT是真實可信的,PON為肯

定，如果NROT不可信,則PON為否定；

c)實體A檢驗SENVA((PON,NRDT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定,

則建立了交付抗抵賴；

d)實體A儲存NRDT以供將來交付抗抵賴使用。

C.3機制M2：強制NRO,強制NRD

C.3.1機制M2的步驟

(3.b)

(3.b)SENVB((PON,NROT,NRDT)或SENVB((PON,NROT)

(4.a)SENVA(NR)T)

圖A.2機制M2

機制M2見圖A.2,在兩個實體與HP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在

本機制中，TTP在向B發(fā)送消息收據(jù)的同時，直接通過SENV把它發(fā)送給A。

C.3.2步驟1—原發(fā)者A與TTP間

a)實體A使用密鑰a生成安全信封SENVA(ZJ),其中z/同8.3.2規(guī)定的乙，但數(shù)據(jù)項

TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗證安全信封來自實體Ao如果驗證通過，TTP插入數(shù)據(jù)項TG以完成Zl,并使

用密鑰ttp計算：

NROT=(text,zi,MACTTP(ZI))

然后將SENVA(NROT)返回給A；

c)實體A驗證SENV；(NROT)來自TTP.

C.3.3步驟2—原發(fā)者A到接收者B

實體A向?qū)嶓wB發(fā)送：(叫NROT)。

C.3.4步驟3一接收者B與TTP間

a)實體B驗證z.中Imp(m)值的正確性。然后使月密鑰b生成安全信封SENVB(NROT)

和SENVB(Z/),其中同8.3.3規(guī)定的Z2,但數(shù)據(jù)項租為空。實體B把上述安全

信封發(fā)送給TTP以要求驗證來自A的NROT并請求生成NRDT；

)

b)TTP驗證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗證SENVB(z2)來自實體B。

如果驗證通過，TTP插入數(shù)據(jù)項TG以完成Z2,并計算：

NRDT=(text,Z2,MACTTP(Z2))

如果SENM(NROT)與NROT均是真實可信的，則TTP使用密鑰ttp計算并向B發(fā)送

SENVB((PON,NROT,NRDT)),其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，

TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT)),其中PON為否定;

c)實體B檢驗SENVI)((PON,NROT,NRDT))來自TTP：若檢驗通過，并且驗證結(jié)果P0N為

肯定，則建立了原發(fā)抗抵賴；

d)儲存NROT以供將來原發(fā)抗抵賴使用。

C.3.5步驟4—原發(fā)者A與TTP間

a)在步驟3中向B發(fā)送NRDT之后，TTP立即向A發(fā)送SENVA(NRDT)。

b)實體A檢驗SENVMNRDT)與NRDT；若檢驗通過，則建立了交付抗抵賴(即，消息被

B接收)；

c)實體A儲存NRDT以供將來交付抗抵賴使用。

0.4機制M3：帶有中介TTP的強制NRO和強制NRD

C.4.1機制M3的步驟

機制M3見圖A.3,在兩個實體與TTP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在

本機制中，TTP在原發(fā)者和接收者之間充當了中間人的角色，兩個實體不再直接通信。為此，

實體A發(fā)送消息給TTP作為步驟1中的一部分，TTP將其傳遞給實體B作為步驟2的一部分。

在本機制中，HP可選地生成并向原發(fā)實體發(fā)送提交抗抵賴與傳輸抗抵賴權(quán)標.

C.4.2步驟1一原發(fā)者A與TTP間

a)實體A使用密鑰a生成安全信封SENV信z「),其中z「同8.3.2規(guī)定的打，但數(shù)據(jù)項

TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；

b)TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成打，并使

用密鑰ttp計算：

NROT=(text,Zi,MACm(zJ)

然后將SENVA(NROT)返回給A；

c)實體A驗證SENVA(NROT)來自TTP。

(La).

/(lb)________________

A,(4.a?)_-_-__-__-_-__-__-_-__-__---T-T--P----

(2)(3.a)(3.b)

(La)(m,SENVAlz，))

(l.b)SENVA(NROT)

(2)(m,NROT)

(3.a)

(SENVB(NROT)),SENV8(Z2')

(3.b)SENVB((PON,NROT,NRDT)或SENVB((PON,NROT)

(4.a)SENVA(NRDT)

圖A.3機制M3

C.4.3步驟2—TTP到接收者B

TTP向?qū)嶓wB發(fā)送：(m,NROT).

C.4.4步驟3一接收者B與TTP間

a)由于NROT不是以安全信封的方式收到的，因此實體B需要與TTP一起來驗證NROT,

所以B在驗證或證Z】中Imp(m)值的正確性之后，使用密鑰b生成安全信封

SENVB(NROT)和SENVKzz'),其中Z2‘同&3.3規(guī)定的Z2,但數(shù)據(jù)項TG為空。實體B

把上述安全信封發(fā)送給TTP以要求驗證來自A(|勺NROT并請求生成NRDT：