信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：采用對稱技術(shù)的機制

信息技術(shù)安全技術(shù)抗抵賴第2部分：采用對稱技術(shù)的機制范圍本部分規(guī)定了抗抵賴服務(wù)的通用結(jié)構(gòu)，以及一些特定的、與通信有關(guān)的抗抵賴機制，用于提供原發(fā)抗抵賴（NRO）與交付抗抵賴（NRD）等。本部分適用于信息系統(tǒng)中實現(xiàn)采用對稱技術(shù)的消息抗抵賴相關(guān)應(yīng)用的設(shè)計、實現(xiàn)與測試。抗抵賴服務(wù)旨在生成、收集、維護、利用和驗證有關(guān)已聲稱事件或動作的證據(jù)，以解決有關(guān)該事件或動作已發(fā)生或未發(fā)生的爭議。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15852（所有部分）信息技術(shù)安全技術(shù)消息鑒別碼GB/T17903.1信息技術(shù)安全技術(shù)抗抵賴第1部分：概述GB/T25069-2010信息安全技術(shù)術(shù)語術(shù)語和定義GB/T17903.1中定義的以及下列術(shù)語和定義適用于本文件。密碼校驗函數(shù)cryptographiccheckfunction以秘密密鑰和任意字符串作為輸入，并以密碼校驗值作為輸出的密碼變換。不知道秘密密鑰就不可能正確計算校驗值。[GB/T25069-2010，定義2.2.2.101]數(shù)據(jù)完整性dataintegrity數(shù)據(jù)沒有遭受以未授權(quán)方式所作的更改或破壞的特性。[GB/T25069-2010，定義2.1.36]證據(jù)生成者evidencegenerator產(chǎn)生抗抵賴證據(jù)的實體。[GB/T18794.4，定義3.4.4]雜湊函數(shù)hashfunction將比特串映射為固定長度的比特串的函數(shù)，該函數(shù)滿足下列兩特性：對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的；對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的。計算上的可行性取決于特定安全要求和環(huán)境。在本部分中，雜湊函數(shù)的輸出的比特串稱為雜湊碼。[GB/T25069-2010，定義2.2.2.166]密鑰key一種用于控制密碼變換操作（例如加密、解密、密碼校驗函數(shù)計算、簽名生成或簽名驗證）的符號序列。[GB/T25069-2010，定義2.2.2.106]消息鑒別碼算法MACalgorithm一種帶密鑰的密碼算法，用于將比特串和秘密密鑰映射為定長比特串的函數(shù)，并滿足以下兩種性質(zhì)：對任意密鑰和任意輸入串，該函數(shù)都能有效進行計算；對任一固定的密鑰，該密鑰在未知情況下，即便已知輸入串集合中的第i個輸入串和對應(yīng)的函數(shù)值，且串集合中的第i個輸入串值在觀測前面的第i-1個函數(shù)值之后可能已經(jīng)選定，要算出該函數(shù)對任意新輸入串的值在計算上是不可行的。[GB/T25069-2010，定義2.2.2.201]消息鑒別碼messageauthenticationcodeMAC消息鑒別碼算法的輸出的比特串。[GB/T25069-2010，定義2.2.2.200]秘密密鑰secretkey用于對稱密碼技術(shù)中的一種密鑰，并僅有一組規(guī)定實體所使用。[GB/T25069-2010，定義2.2.2.90]安全策略securitypolicy用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)和實踐，特別是那些對系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。[GB/T25069-2010，定義2.3.2]時間戳time-stamp包含通用時間源，描述某個時間點的時間變量參數(shù)。時間戳機構(gòu)time-stampauthority提供時間戳服務(wù)的可信第三方?？s略語下列縮略語適用于本文件。DA：交付機構(gòu)(DeliveryAuthority)GNRT：通用抗抵賴權(quán)標(biāo)(GenericNon-RepudiationToken)NRD：交付抗抵賴(Non-RepudiationofDelivery)NRDT：交付抗抵賴權(quán)標(biāo)(Non-RepudiationofDeliveryToken)NRO：原發(fā)抗抵賴(Non-RepudiationofOrigin)NROT：原發(fā)抗抵賴權(quán)標(biāo)(Non-RepudiationofOriginToken)Pol：抗抵賴策略(Non-Repudiationpolicy)PON：肯定或否定，驗證過程的結(jié)果(PositiveOrNegative)SENV：安全信封(SecureENVelope)TSA：可信時間戳機構(gòu)(trustedTimeStampAuthority)TST：時間戳權(quán)標(biāo)(Time-StampingToken)TTP：可信第三方(TrustedThirdParty)符號GB/T17903.1中定義的以及下列符號適用于本部分：a僅為實體A和可信第三方（TTP）所知的密鑰b僅為實體B和可信第三方（TTP）所知的密鑰da交付機構(gòu)（DA）的密鑰MACX(y)使用實體X的私密密鑰對數(shù)據(jù)y計算得到的消息鑒別碼ttp僅為TTP所知的密鑰，用于生成抗抵賴權(quán)標(biāo)Pol應(yīng)用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符SENV(.)用來計算安全信封的函數(shù)TSATSA的可區(qū)分標(biāo)識符TTPTTP的可區(qū)分標(biāo)識符(y,z)y和z按順序的連接z1由提供NRO權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段z2由提供NRD權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段要求本部分中，凡涉及密碼算法的相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實施；凡涉及到采用密碼技術(shù)解決保密性、完整性、真實性、不可否認性需求的須遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。本部分中規(guī)定的機制均應(yīng)滿足以下通用要求：使用抗抵賴機制的各相關(guān)實體應(yīng)能夠獨立與DA、TSA或TTP進行通信；如果兩個實體使用本部分中規(guī)定的某個抗抵賴機制，雙方應(yīng)信任同一個第三方；在使用本部分規(guī)定的抗抵賴機制前，每個實體均應(yīng)與DA、TSA或TTP建立一個共享的對稱密鑰。此外，每個DA、TSA或TTP實體均應(yīng)持有一個僅為自己所知的密鑰；密鑰管理、密鑰生成及密鑰建立機制可參見GB/T17901.1等相關(guān)的國家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn)及ISO/IEC11770?？沟仲嚪?wù)中的所有實體應(yīng)共享一個公共函數(shù)Imp；為創(chuàng)建安全信封而選取的MAC函數(shù)應(yīng)為抗抵賴服務(wù)的所有參與者所持有；生成抗抵賴權(quán)標(biāo)的TTP應(yīng)能夠訪問時間和日期。本部分規(guī)定的抗抵賴機制的強度依賴于所使用的密碼學(xué)機制和參數(shù)的安全級別和強度。本部分不規(guī)定抗抵賴機制中數(shù)據(jù)項的具體傳輸機制，抗抵賴機制的使用者可根據(jù)業(yè)務(wù)的安全需求來選擇適當(dāng)?shù)臋C制，以確保使用抗抵賴機制的各實體間可以對數(shù)據(jù)項進行一致的解析。安全信封共享一個秘密密鑰的兩個實體（該密鑰僅為這兩個實體所知）可以使用一種稱為安全信封（SENV）的數(shù)據(jù)完整性校驗方法來相互傳遞消息。SENV可以通過使用實體的秘密密鑰來產(chǎn)生，用于保護輸入數(shù)據(jù)項。此外，SENV也可以由TTP使用僅為TTP持有的秘密密鑰來產(chǎn)生，用于生成和驗證證據(jù)。下面使用對稱的完整性技術(shù)來創(chuàng)建安全信封。實體X的秘密密鑰x用于計算密碼校驗值MACX(y)，該值附加在數(shù)據(jù)的后面，即：SENVX(y)=(y,MACX(y))其中MACX(y)應(yīng)為滿足GB/T15852要求的消息鑒別碼。本部分規(guī)定的安全信封的強度依賴于所使用的密碼學(xué)機制和參數(shù)的安全級別和強度，抗抵賴機制的使用者可根據(jù)業(yè)務(wù)的安全需求來選擇適當(dāng)?shù)臋C制，GB/T15852中給出了各種消息鑒別碼機制安全性的說明?？沟仲嚈?quán)標(biāo)的生成與驗證TTP創(chuàng)建權(quán)標(biāo)在本章描述的抗抵賴機制中，TTP擔(dān)當(dāng)證據(jù)生成和證據(jù)驗證機構(gòu)的角色。TTP可信賴地維護特定記錄的完整性并直接參與解決爭議。TTP頒發(fā)與消息m相應(yīng)的“權(quán)標(biāo)”。權(quán)標(biāo)包括一個安全信封，由TTP使用其秘密密鑰作用于該消息所確定的數(shù)據(jù)而形成。因為其它實體都不知道秘密密鑰ttp，TTP是唯一可以創(chuàng)建或者驗證權(quán)標(biāo)的實體。在GB/T17903.1中，通用抗抵賴權(quán)標(biāo)（GNRT）定義如下：GNRT=(text,SENVX(y))在本場景中，即：GNRT=(text,SENVTTP(y))此外，在發(fā)布權(quán)標(biāo)之前，TTP應(yīng)檢查證據(jù)請求中的數(shù)據(jù)項。消息m可以是明文或密文。text為文本域，包括一些不需要密碼學(xué)保護但在計算完整性校驗值MAC和安全信封SENV時要用到的，或用于標(biāo)識消息和密鑰的附加數(shù)據(jù)（如消息標(biāo)識符或密鑰標(biāo)識符）。本信息依賴于所使用的技術(shù)?？沟仲嚈C制使用的數(shù)據(jù)項安全信封使用的數(shù)據(jù)項在本部分描述的抗抵賴機制中，將對安全信封SENVX(z)=(z,MACX(z))進行交換，下列數(shù)據(jù)字段構(gòu)成了該安全信封的內(nèi)容：z=(Pol,fI,A,B,C,D,E,TG,Ti,Q,Imp(m))數(shù)據(jù)域z中包含的數(shù)據(jù)項定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符fi 提供的抗抵賴服務(wù)的類型A 原發(fā)實體的可區(qū)分標(biāo)識符B 與原發(fā)實體進行交互的實體的可區(qū)分標(biāo)識符C 證據(jù)生成者的可區(qū)分標(biāo)識符D 證據(jù)請求者的可區(qū)分標(biāo)識符，如果證據(jù)請求者與原發(fā)實體不同E 動作涉及到的其他實體的可區(qū)分標(biāo)識符TG 證據(jù)生成的日期與時間Ti 事件或動作發(fā)生的日期與時間Q 需要保護的可選數(shù)據(jù)Imp(m) 與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身在本部分中，根據(jù)抗抵賴服務(wù)的不同，i的值為1（原發(fā)抗抵賴）或2（交付抗抵賴）.抗抵賴權(quán)標(biāo)使用的數(shù)據(jù)項抗抵賴權(quán)標(biāo)包括一個文本域text與一個安全信封，定義如下：抗抵賴權(quán)標(biāo)=(text,SENVTTP(z))文本域包括一些不需要密碼學(xué)保護但在計算完整性校驗值MAC和安全信封SENV時要用到的，或用于標(biāo)識消息和密鑰的附加數(shù)據(jù)（如消息標(biāo)識符或密鑰標(biāo)識符）。本信息依賴于所使用的技術(shù)。抗抵賴權(quán)標(biāo)證據(jù)提供證據(jù)通常由抗抵賴權(quán)標(biāo)提供，如果策略要求，也可以由附加權(quán)標(biāo)提供，例如：時間戳權(quán)標(biāo)（TST）、或由另一個可信的第四方（如公證人）提供的對事件和動作以及消息的存在性給予附加保證的權(quán)標(biāo)等。如果可信第三方可以獨自生成可信時間戳，則不需要增加TST作為證據(jù)。抗抵賴權(quán)標(biāo)（NROT、NRDT）中包含的時間可認為是安全可靠的，因為它是由可信機構(gòu)提供的。如果可信第三方（TTP、DA）不能提供可信時間戳，那么抗抵賴集合中就需要增加由可信時間戳機構(gòu)（TSA）提供的TST以完成證據(jù)。原發(fā)抗抵賴權(quán)標(biāo)原發(fā)抗抵賴權(quán)標(biāo)（NROT）由TTP應(yīng)原發(fā)者的請求而創(chuàng)建，其格式如下：NROT=(text,z1,MACTTP(z1))，其中z1=(Pol,f1,A,B,C,D,TG,T1,Q,Imp(m))NROT所需信息z1中包含的數(shù)據(jù)項定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符f1 原發(fā)抗抵賴服務(wù)的標(biāo)記A 原發(fā)者的可區(qū)分標(biāo)識符B 預(yù)定接收者的可區(qū)分標(biāo)識符C 生成證據(jù)的TTP的可區(qū)分標(biāo)識符D 觀察者的可區(qū)分標(biāo)識符，如果存在獨立觀察者TG 證據(jù)生成的日期與時間T1 消息原發(fā)的日期與時間Q 需要保護的可選數(shù)據(jù)Imp(m) 與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身交付抗抵賴權(quán)標(biāo)交付抗抵賴權(quán)標(biāo)（NRDT）由TTP應(yīng)接收者的請求而創(chuàng)建，其格式如下：NRDT=(text,z2,MACTTP(z2))，其中z2=(Pol,f2,A,B,C,D,TG,T2,Q,Imp(m))NRDT所需信息z2中包含的數(shù)據(jù)項定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識符f2 交付抗抵賴服務(wù)的標(biāo)記A 原發(fā)者的可區(qū)分標(biāo)識符B 接收者的可區(qū)分標(biāo)識符C TTP的可區(qū)分標(biāo)識符D 觀察者的可區(qū)分標(biāo)識符，如果存在獨立觀察者TG 證據(jù)生成的日期與時間T2 消息交付的日期與時間Q 需要保護的可選數(shù)據(jù)Imp(m) 與動作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身時間戳權(quán)標(biāo)時間戳權(quán)標(biāo)TST可由可信時間戳機構(gòu)（TSA）使用GB/T20520中的方法生成。TTP進行的權(quán)標(biāo)驗證驗證過程在抗抵賴交換過程的某個環(huán)節(jié)上，可能需要TTP對實體的權(quán)標(biāo)（如上定義所示）進行驗證。在交換完成以后的某個時刻，也可能需要再次驗證權(quán)標(biāo)，或者向第四方提供證據(jù)以證明其真實性。驗證過程不僅要檢驗權(quán)標(biāo)是否由TTP創(chuàng)建，而且要檢驗權(quán)標(biāo)是否與消息的數(shù)據(jù)字段確切相關(guān)。為了驗證權(quán)標(biāo)是否為給定的消息而創(chuàng)建，實體把由消息計算而得的Imp(m)與數(shù)據(jù)字段z中包括的Imp(m)進行比較，然后要求TTP對權(quán)標(biāo)及其數(shù)據(jù)字段進行驗證。為了驗證由對稱完整性技術(shù)生成的安全信封，應(yīng)進行如下操作：使用實體X的相應(yīng)秘密密鑰x對安全信封中包含的數(shù)據(jù)y重新計算密碼校驗值MACX(y)，然后把結(jié)果與所提供的密碼校驗值進行比較。TTP應(yīng)使用8.4.2與8.4.3中定義的兩種驗證方法之一進行驗證。在線權(quán)標(biāo)驗證本方法中，TTP使用包含秘密密鑰ttp的安全模塊來驗證權(quán)標(biāo)。安全模塊將該權(quán)標(biāo)與使用數(shù)據(jù)項zi和秘密密鑰ttp在其內(nèi)部生成的值進行比較，并返回比較結(jié)果，該結(jié)果決定了權(quán)標(biāo)是否有效。由于密鑰ttp不為TTP之外的任何人所知，如果安全模塊返回的結(jié)果表明該權(quán)標(biāo)是有效的，那么所驗證的權(quán)標(biāo)也可以認為是真實可信的。權(quán)標(biāo)表本方法中，TTP發(fā)布的所有權(quán)標(biāo)儲存在一張表中。對每個已創(chuàng)建的權(quán)標(biāo)，TTP記錄下權(quán)標(biāo)和相關(guān)的數(shù)據(jù)字段（zi）以及秘密密鑰ttp的密鑰標(biāo)識符。要驗證一個權(quán)標(biāo)，TTP把該權(quán)標(biāo)作為索引在標(biāo)準(zhǔn)查找。如果在表中能夠找到要驗證的權(quán)標(biāo)，而且該權(quán)標(biāo)所帶的數(shù)據(jù)字段（即權(quán)標(biāo)的一部分）與表中對應(yīng)的數(shù)據(jù)字段相符，則認為該權(quán)標(biāo)是真實可信的。特定抗抵賴機制抗抵賴機制本章規(guī)定的抗抵賴機制支持生成下列抗抵賴證據(jù)：原發(fā)抗抵賴（NRO）、交付抗抵賴（NRD）。另外，本章定義了時間戳的生成機制。當(dāng)實體A想要向?qū)嶓wB發(fā)送消息，則實體A稱為抗抵賴傳輸?shù)脑l(fā)者，實體B稱為接收者。本章規(guī)定的抗抵賴機制的實例可參見附錄A。8章所描述的某些機制中，使用到了數(shù)據(jù)字段zi。這一數(shù)據(jù)字段除了不包含時間信息外與抗抵賴權(quán)標(biāo)中的zi數(shù)據(jù)字段完全一致。時間信息由TTP（或DA）提供，或者由可信時間戳機構(gòu)應(yīng)TTP（或DA）的請求而提供。當(dāng)Imp(m)即消息m本身時，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗證Imp(m)的步驟也可省略。原發(fā)抗抵賴機制步驟與機制原發(fā)者創(chuàng)建了一條消息并發(fā)送給特定的接收者。接收者使用TTP來驗證與之相關(guān)的原發(fā)抗抵賴權(quán)標(biāo)，從而檢驗該消息來源于其聲稱的發(fā)送者。本機制包含三個步驟：第一步，原發(fā)者構(gòu)造數(shù)據(jù)并封裝入SENV發(fā)送給TTP。TTP生成原發(fā)抗抵賴權(quán)標(biāo)（NROT）并返回給A；第二步，原發(fā)者A將NROT與消息m發(fā)送給接收者B；第三步，接收者把安全信封中封裝的NROT發(fā)送給TTP進行驗證。原發(fā)抗抵賴在第三步建立。權(quán)標(biāo)生成步驟1—原發(fā)者A與TTP間實體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z1，并使用密鑰ttp計算：NROT=(text,z1,MACA(z1))然后將SENVA（NROT）返回給A；實體A驗證SENVA（NROT）來自TTP，且其中的z1內(nèi)容與z1’相一致。步驟2—原發(fā)者A到接收者B實體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實體B執(zhí)行以下驗證操作：校驗z1中的策略Pol滿足其安全要求；校驗z1中的f1標(biāo)示了原發(fā)抗抵賴權(quán)標(biāo)；校驗標(biāo)識符A,B,C有效；校驗標(biāo)識符D為實際存在的獨立觀察者；校驗時間TG與T1的正確性；校驗z1中Imp(m)值的正確性。實體B使用密鑰b生成SENVB(NROT)并發(fā)送給TTP，要求驗證來自A的NROT；TTP驗證SENVB(NROT)來自B，并驗證NROT是真實可信的。如果SENVB(NROT)是有效的，TTP向B發(fā)送SENVB((PON,NROT))，其中：如果NROT是真實可信的，PON為肯定，如果NROT不可信，則PON為否定；實體B檢驗SENVB((PON,NROT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴（即，消息來自A）；儲存NROT以供將來原發(fā)抗抵賴使用。權(quán)標(biāo)驗證若證據(jù)使用者B在未來的某時刻需要再次驗證NROT的真實可信性，則其可以單獨執(zhí)行9.2.2.3節(jié)中規(guī)定的步驟3來完成驗證。交付抗抵賴機制步驟與機制本機制包含三個步驟：第一步，實體B在接收到消息m后，向TTP發(fā)送請求以要求生產(chǎn)交付抗抵賴權(quán)標(biāo)，該請求封裝在安全信封中，TTP生成交付抗抵賴權(quán)標(biāo)（NRDT），并返回給接收者B；第二步，接收者B將NRDT發(fā)送給原發(fā)者A；第三步，原發(fā)者將NRDT封裝在安全信封發(fā)送給TTP進行驗證。交付抗抵賴在第三步建立。權(quán)標(biāo)生成步驟1—接收者B與TTP間實體B使用密鑰b生成安全信封SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項TG為空。實體B把安全信封發(fā)送給TTP以請求NRDT；TTP驗證安全信封來自實體B。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z2，并使用密鑰ttp計算：NRDT=(text,z2,MACB(z2))然后將SENVB（NRDT）返回給B；實體B驗證SENVB（NRDT）來自TTP，且其中的z2內(nèi)容與z2’相一致。步驟2—接收者B到原發(fā)者A實體B向?qū)嶓wA發(fā)送：NRDT。步驟3—原發(fā)者A與TTP間實體A執(zhí)行以下驗證操作：校驗z2中的策略Pol滿足其安全要求；校驗z2中的f2標(biāo)示了交付抗抵賴權(quán)標(biāo)；校驗標(biāo)識符A,B,C有效；校驗標(biāo)識符D為實際存在的獨立觀察者；校驗時間TG與T2的正確性；校驗z2中Imp(m)值的正確性。實體A使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗證來自B的NRDT；TTP驗證SENVA(NRDT)來自A，并驗證NRDT是真實可信的。如果SENVA(NRDT)是有效的，TTP向A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實可信的，PON為肯定，如果NROT不可信，則PON為否定；實體A檢驗SENVA((PON,NRDT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，則建立了交付抗抵賴；儲存NRDT以供將來交付抗抵賴使用。權(quán)標(biāo)驗證若證據(jù)使用者A在未來的某時刻需要再次驗證NRDT的真實可信性，則其可以單獨執(zhí)行9.3.2.3節(jié)中規(guī)定的步驟3來完成驗證。獲取時間戳權(quán)標(biāo)的機制當(dāng)可信時間源被請求且權(quán)標(biāo)生成方的時鐘無法被信任時，需要依賴于可信第三方的TSA來提供可信時間戳。實體X（請求者）與TSA之間獲取時間戳的通信可參見GB/T20520。（資料性附錄）抗抵賴機制實例原發(fā)抗抵賴與交付抗抵賴機制實例本附錄所示的抗抵賴機制可在實體A和B之間提供原發(fā)抗抵賴和交付抗抵賴。實體A欲向?qū)嶓wB發(fā)送消息，于是成為抗抵賴交換的原發(fā)者。作為消息的接收方，實體B就是接收者。在使用下列機制之前，假設(shè)實體A和實體B分別持有密鑰a和b，TTP除了擁有自己的密鑰ttp以外，還持有密鑰a和b。下面給出了使用在線TTP的三種不同的抗抵賴機制（M1、M2和M3）。通過在SENV消息中包含時間戳或序列號，可以防止未授權(quán)延遲或消息重放。通過在NROT和NRDT中包含時間戳，可進一步驗證消息傳輸時的時間戳。當(dāng)Imp(m)即消息m本身時，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗證Imp(m)的步驟也可省略。機制M1：強制NRO，可選NRD機制M1的步驟機制M1見圖A.1，共包含5個步驟，在兩個實體與TTP之間通過3個步驟建立原發(fā)抗抵賴，如果繼續(xù)可選的NRD步驟（根據(jù)接收者的決定），那么可通過再執(zhí)行2個步驟建立交付抗抵賴。盡管是否繼續(xù)進行交付抗抵賴的步驟取決于接收者，但要注意，一旦建立了交付抗抵賴，這一可選的交付抗抵賴就完全綁定了。本機制可以提供原發(fā)抗抵賴并可選地提供交付抗抵賴。該協(xié)議的用法（僅提供原發(fā)抗抵賴或同時提供原發(fā)抗抵賴和交付抗抵賴）由發(fā)送者A、接收者B和TTP在具體協(xié)議執(zhí)行前商定。步驟1—原發(fā)者A與TTP間實體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z1，并使用密鑰ttp計算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實體A驗證SENVA（NROT）來自TTP。機制M1步驟2—原發(fā)者A到接收者B實體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實體B驗證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項TG為空。實體B把上述安全信封發(fā)送給TTP以要求驗證來自A的NROT并請求生成NRDT；TTP驗證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗證SENVB(z2’)來自實體B。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z2，并計算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)與NROT均是真實可信的，則TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；實體B檢驗SENVB((PON,NROT,NRDT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴（即，消息來自A）；儲存NROT以供將來原發(fā)抗抵賴使用。步驟4—接收者B到原發(fā)者A實體B向?qū)嶓wA發(fā)送：NRDT。步驟5—原發(fā)者A與TTP間實體A校驗z2中Imp(m)值的正確性。然后使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗證來自B的NRDT；TTP驗證SENVA(NRDT)來自A，并驗證NRDT是真實可信的。如果SENVA(NRDT)是有效的，TTP向A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實可信的，PON為肯定，如果NROT不可信，則PON為否定；實體A檢驗SENVA((PON,NRDT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，則建立了交付抗抵賴；實體A儲存NRDT以供將來交付抗抵賴使用。機制M2：強制NRO，強制NRD機制M2的步驟機制M2機制M2見圖A.2，在兩個實體與TTP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機制中，TTP在向B發(fā)送消息收據(jù)的同時，直接通過SENV把它發(fā)送給A。步驟1—原發(fā)者A與TTP間實體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z1，并使用密鑰ttp計算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實體A驗證SENVA（NROT）來自TTP。步驟2—原發(fā)者A到接收者B實體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實體B驗證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項TG為空。實體B把上述安全信封發(fā)送給TTP以要求驗證來自A的NROT并請求生成NRDT；TTP驗證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗證SENVB(z2’)來自實體B。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z2，并計算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)與NROT均是真實可信的，則TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密鑰ttp計算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；實體B檢驗SENVB((PON,NROT,NRDT))來自TTP；若檢驗通過，并且驗證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴；儲存NROT以供將來原發(fā)抗抵賴使用。步驟4—原發(fā)者A與TTP間在步驟3中向B發(fā)送NRDT之后，TTP立即向A發(fā)送SENVA(NRDT)。實體A檢驗SENVA(NRDT)與NRDT；若檢驗通過，則建立了交付抗抵賴（即，消息被B接收）；實體A儲存NRDT以供將來交付抗抵賴使用。機制M3：帶有中介TTP的強制NRO和強制NRD機制M3的步驟機制M3見圖A.3，在兩個實體與TTP之間通過4個步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機制中，TTP在原發(fā)者和接收者之間充當(dāng)了中間人的角色，兩個實體不再直接通信。為此，實體A發(fā)送消息給TTP作為步驟1中的一部分，TTP將其傳遞給實體B作為步驟2的一部分。在本機制中，TTP可選地生成并向原發(fā)實體發(fā)送提交抗抵賴與傳輸抗抵賴權(quán)標(biāo)。步驟1—原發(fā)者A與TTP間實體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項TG為空。實體A把安全信封發(fā)送給TTP以請求NROT；TTP驗證安全信封來自實體A。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z1，并使用密鑰ttp計算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實體A驗證SENVA（NROT）來自TTP。機制M3步驟2—TTP到接收者BTTP向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間由于NROT不是以安全信封的方式收到的，因此實體B需要與TTP一起來驗證NROT，所以B在驗證驗證z1中Imp(m)值的正確性之后，使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項TG為空。實體B把上述安全信封發(fā)送給TTP以要求驗證來自A的NROT并請求生成NRDT；TTP驗證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗證SENVB(z2’)來自實體B。如果驗證通過，TTP插入數(shù)據(jù)項TG以完成z2，并計算：NRDT=(text,z2,MACTTP(z2))如果SENVB