GM-T 0079-2020 清晰版 可信計(jì)算平臺(tái)直接匿名證明規(guī)范

ICS35.040CCSL80中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)可信計(jì)算平臺(tái)直接匿名證明規(guī)范2020-12-28發(fā)布2021-07-01實(shí)施國(guó)家密碼管理局發(fā)布GM／T0079—2020前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4符號(hào)與縮略語(yǔ) 5密碼算法 6直接匿名證明功能 7直接匿名證明接口 附錄A（規(guī)范性）直接匿名證明接口數(shù)據(jù)結(jié)構(gòu) 附錄B（資料性）直接匿名證明橢圓曲線參數(shù)與輔助函數(shù) 參考文獻(xiàn) ⅠGM／T0079—2020本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本文件起草單位：中國(guó)科學(xué)院軟件研究所、國(guó)民技術(shù)股份有限公司、清華同方股份有限公司、北京華電卓識(shí)信息安全測(cè)評(píng)技術(shù)中心有限公司、興唐通信科技有限公司。1GM／T0079—2020可信計(jì)算平臺(tái)直接匿名證明規(guī)范本文件規(guī)定了可信計(jì)算平臺(tái)的直接匿名證明協(xié)議的功能、接口和數(shù)據(jù)結(jié)構(gòu)。本文件適用于可信計(jì)算平臺(tái)直接匿名證明協(xié)議應(yīng)用、匿名證明服務(wù)和匿名證明系統(tǒng)研發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32918—2016（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GM/T0012可信密碼模塊接口規(guī)范GM/Z4001密碼術(shù)語(yǔ)3術(shù)語(yǔ)和定義GM/Z4001界定的以及下列術(shù)語(yǔ)適用于本文件。3.1可信密碼模塊構(gòu)建可信計(jì)算平臺(tái)的基礎(chǔ)硬件模塊，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，具有受保護(hù)的存儲(chǔ)空間。3.2簽署密鑰可信密碼模塊內(nèi)部用于標(biāo)識(shí)自身身份的密鑰對(duì)，其用途只能用于加解密。根據(jù)上下文的不同情境，這個(gè)術(shù)語(yǔ)可能代表一個(gè)密鑰對(duì)、密鑰對(duì)中的公鑰或者代表密鑰對(duì)中的私鑰。3.3服務(wù)模塊可信密碼模塊向應(yīng)用程序提供服務(wù)的軟件中間件。3.4直接匿名證明可信計(jì)算平臺(tái)所使用的匿名身份鑒別方案。3.5基于橢圓曲線的直接匿名證明基于橢圓曲線密碼學(xué)方案的直接匿名證明方案。3.6證明方直接匿名證明中的證明方，一般包含主機(jī)和可信密碼模塊兩個(gè)部分。3.7主機(jī)直接匿名證明中證明方擁有的內(nèi)嵌可信密碼模塊的安全主機(jī)。2GM／T0079—20203.8憑證頒發(fā)方直接匿名證明中，為可信密碼模塊頒發(fā)憑證的參與方。3.9驗(yàn)證方v直接匿名證明中，驗(yàn)證遠(yuǎn)程可信密碼模塊身份的參與方。4符號(hào)與縮略語(yǔ)GB/T32918—2016（所有部分）中界定的以及下列密碼學(xué)符號(hào)適用于本文件。0：整數(shù)0、比特0或者有限域加法單位元。a，b：Fq中的元素，它們定義Fq上的橢圓曲線E。ll的m次冪，也記作lm。E：有限域上由a，b定義的一條橢圓曲線。E（FqE中所有坐標(biāo)屬于Fq的點(diǎn)（包括無(wú)窮遠(yuǎn)點(diǎn)。）所構(gòu)成的集合。Fq：q階有限素域。Gn：橢圓曲線的一個(gè)基點(diǎn)，其階為素?cái)?shù)，下標(biāo)n是整數(shù)，用為于區(qū)分不同基點(diǎn)。GT：有限域的一個(gè)基點(diǎn)，其階為素?cái)?shù)。l＋m：有限域元素l與m的域加法運(yùn)算結(jié)果。l×m：有限域元素l與m的域乘法運(yùn)算結(jié)果，在不引起歧義的情況下，也記作lm。P：Pxp，yp）是橢圓曲線上除零點(diǎn)。外的一個(gè)點(diǎn)，其坐標(biāo)滿足橢圓曲線方程。。：橢圓曲線上一個(gè)特殊點(diǎn)，稱(chēng)為無(wú)窮遠(yuǎn)點(diǎn)或零點(diǎn)，是橢圓曲線加法群的單位元。xp：點(diǎn)P的x坐標(biāo)。yp：點(diǎn)P的y坐標(biāo)。Zn：整數(shù)模素?cái)?shù)n的剩余類(lèi)?！磄〉：g生成的循環(huán)群。［k］P：橢圓曲線上點(diǎn)P的k倍點(diǎn)，不引起歧義的情況下，也記作Pk。g∈RG：從集合G中隨機(jī)選擇元素g。HASH：標(biāo)準(zhǔn)密碼雜湊函數(shù)。下列縮略語(yǔ)適用于本文件?？尚琶艽a模塊(簽署密鑰(服務(wù)模塊(直接匿名證明(基于橢圓曲線的直接匿名證明(3GM／T0079—20205密碼算法本文件采用國(guó)家密碼管理主管部門(mén)認(rèn)可的密碼算法。6直接匿名證明功能直接匿名證明用于TCM安全芯片的匿名身份證明。功能模型說(shuō)明了系統(tǒng)的參與方的構(gòu)成、作用與目標(biāo)，以及直接匿名證明的整體流程。功能算法說(shuō)明了實(shí)現(xiàn)模型規(guī)定各方所必須執(zhí)行的原子算法以及有關(guān)的參數(shù)選擇等。ECDAA系統(tǒng)主要由憑證頒發(fā)方(Issuer)、證明方(Prover)和驗(yàn)證方(Verifier)三方面的參與者構(gòu)成見(jiàn)圖1,其中證明方根據(jù)ECDAA計(jì)算位置不同而分為主機(jī)和TCM安全芯片，兩者協(xié)同計(jì)算共同完成了匿名憑證申請(qǐng)和匿名證明過(guò)程。圖1系統(tǒng)組成和基本流程在ECDAA系統(tǒng)中，憑證頒發(fā)方負(fù)責(zé)初始化ECDAA系統(tǒng)參數(shù)，為T(mén)CM安全芯片頒發(fā)ECDAA憑證，驗(yàn)證TCM安全芯片的身份是否已經(jīng)被撤銷(xiāo)。一般而言，TCM安全芯片的生產(chǎn)廠商可以作為憑證頒發(fā)方，對(duì)于不同廠商的TCM芯片可以選擇不同的ECDAA系統(tǒng)參數(shù)。也可以采用一個(gè)獨(dú)立的權(quán)威機(jī)構(gòu)充當(dāng)憑證頒發(fā)方，集中式管理TCM匿名憑證。證明方平臺(tái)是硬件上嵌入TCM安全芯片，支持ECDAA規(guī)范的安全PC、筆記本等可信計(jì)算平臺(tái)。證明方平臺(tái)主要功能是TCM匿名憑證的申請(qǐng)、TCM匿名身份的證明，證明方平臺(tái)驅(qū)動(dòng)TCM通過(guò)執(zhí)行TCM_ECDAA_Join命令和相關(guān)主機(jī)計(jì)算向憑證頒發(fā)方請(qǐng)求匿名身份憑證；證明方平臺(tái)執(zhí)行TCM_EC-DAA_Sign命令和相關(guān)主機(jī)計(jì)算向驗(yàn)證方平臺(tái)匿名證明TCM數(shù)字身份。驗(yàn)證方平臺(tái)主要是通過(guò)驗(yàn)證證明方平臺(tái)提供的證明數(shù)據(jù)，認(rèn)證證明方平臺(tái)TCM身份，保證證明方平臺(tái)的確是采用安全芯片TCM作為平臺(tái)的身份。在驗(yàn)證TCM匿名身份的同時(shí)，需要向憑證頒發(fā)方請(qǐng)求驗(yàn)證TCM數(shù)字身份是否已經(jīng)被撤銷(xiāo)。在ECDAA系統(tǒng)中，TCM安全芯片的匿名身份私鑰f只允許保存在TCM芯片內(nèi)部，不允許被導(dǎo)出。TCM的匿名身份私鑰和匿名證明憑證可以存在多個(gè)，但是推薦只使用一個(gè)匿名身份私鑰和憑證。TCM匿名證明過(guò)程（包括證明和驗(yàn)證）只有TCM所有者才能執(zhí)行，并且只有TCM所有者才能夠清除不安全的匿名私鑰。TCM匿名身份憑證可以保存在芯片外部的主機(jī)平臺(tái)，或者其他存儲(chǔ)設(shè)備中。4GM／T0079—2020和命令來(lái)完成，應(yīng)當(dāng)只有較高的權(quán)限才能執(zhí)行這些ECDAA命令。ECDAA命令是非常耗費(fèi)TCM和主機(jī)計(jì)算資源的命令，它需要大量的TCM芯片內(nèi)部資源來(lái)完成一系列計(jì)算操作。在TCM安全芯片執(zhí)行ECDAA命令過(guò)程中，需要禁止其他TCM命令操作執(zhí)行。ECDAA系統(tǒng)各個(gè)參與者之間主要通信流程包含如下步驟：a)系統(tǒng)初始化：設(shè)置ECDAA系統(tǒng)的公共參數(shù)，生成憑證頒發(fā)方用于頒發(fā)匿名憑證的公私鑰對(duì)。b)憑證頒發(fā)：證明方向憑證頒發(fā)方申請(qǐng)和獲得匿名憑證。c)證明：證明方利用匿名憑證以及對(duì)應(yīng)私鑰創(chuàng)建匿名證明數(shù)據(jù)。d)驗(yàn)證：驗(yàn)證方驗(yàn)證特定消息是由合法TCM正確簽名的。ECDAA系統(tǒng)主要解決的問(wèn)題是可信計(jì)算平臺(tái)/TCM芯片用戶(hù)如何向遠(yuǎn)程驗(yàn)證方證明自身平臺(tái)的確使用可信密碼模塊TCM,也即是TCM安全芯片如何認(rèn)證自身的問(wèn)題。在認(rèn)證TCM身份的同時(shí)，還需要保護(hù)平臺(tái)身份隱私，要求遠(yuǎn)程驗(yàn)證方無(wú)法知道TCM安全芯片確切的身份，無(wú)法鏈接多次TCM會(huì)話。為了滿足上述安全需求，ECDAA系統(tǒng)需要實(shí)現(xiàn)如下安全目標(biāo)：a)不可偽造性：只有配備TCM芯片并依賴(lài)芯片申請(qǐng)了匿名身份憑證，證明方才能進(jìn)行ECDAA匿名證明，其他任何攻擊者都無(wú)法偽造ECDAA證明數(shù)據(jù)。b)匿名性：在TCM未被攻破的情況下，任意用戶(hù)通過(guò)協(xié)議數(shù)據(jù)無(wú)法獲得當(dāng)前TCM的唯一性標(biāo)識(shí)。c)不可關(guān)聯(lián)性：驗(yàn)證方平臺(tái)無(wú)法建立兩個(gè)ECDAA證明會(huì)話間的關(guān)聯(lián)性，也即是對(duì)于兩個(gè)不同的證明會(huì)話，驗(yàn)證方平臺(tái)無(wú)法判定是否來(lái)自同一個(gè)TCM。d)惡意TCM檢測(cè)：當(dāng)TCM擁有的匿名憑證對(duì)應(yīng)的私鑰被泄露后，驗(yàn)證方及憑證頒發(fā)方在協(xié)議運(yùn)行過(guò)程中可及時(shí)發(fā)現(xiàn)該類(lèi)泄露。該算法用于憑證頒發(fā)方生成橢圓曲線系統(tǒng)公開(kāi)參數(shù)和自身持有的秘密信息，其輸入、輸出和算法流程如下：a)輸入：安全參數(shù)1l、憑證頒發(fā)方證書(shū)鏈根密鑰公鑰k0和憑證頒發(fā)方公共參數(shù)簽名密鑰私EQ\*jc3\*hps22\o\al(\s\up3(－),n)輸出公共參數(shù)T憑證頒發(fā)方對(duì)公共參數(shù)的簽名cre＝signkEQ\*jc3\*hps19\o\al(\s\up0(－),n)1（issuersettings）和憑證頒發(fā)方秘密信息isk＝r。c)算法流程：2)選擇雙線性映射運(yùn)算e：G1×G2→GT。其中G1,G2分別是以g1,g2為生成元的循環(huán)群，其階均為素?cái)?shù)p，GT是擴(kuò)域Fqk上以gT為生成元的p階循環(huán)群，k為橢圓曲線的嵌入度。運(yùn)算e應(yīng)滿足如下性質(zhì)：對(duì)于所有的P,所有的l滿足存在；EQ\*jc3\*hps22\o\al(\s\up3(*),p)EQ\*jc3\*hps22\o\al(\s\up4(r),２)5GM／T0079—2020),根據(jù)數(shù)據(jù)結(jié)構(gòu)并用kEQ\*jc3\*hps22\o\al(\s\up4(－),n)1對(duì)其簽名生成EQ\*jc3\*hps19\o\al(\s\up1(－),n)TTEQ\*jc3\*hps19\o\al(\s\up1(－),n)該算法用于證明方主機(jī)和TCM設(shè)置憑證頒發(fā)方生成的橢圓曲線系統(tǒng)公開(kāi)參數(shù)（詳見(jiàn)附錄B),其輸入、輸出和算法流程如下：a)輸入：憑證頒發(fā)方公鑰證書(shū)鏈，憑證頒發(fā)方驗(yàn)證的公共參數(shù)issuerSetingsHASH（pHASH)),對(duì)公共參數(shù)的簽名EQ\*jc3\*hps19\o\al(\s\up0(－),n)c)算法流程：1)證明方調(diào)用TCM的直接匿名證明功能接口TCM_ECDAA_Setup（詳見(jiàn)第8章）。具體地，TCM驗(yàn)證憑證頒發(fā)方公鑰證書(shū)鏈和憑證頒發(fā)方對(duì)公共參數(shù)的簽名cre，然后根據(jù)設(shè)置內(nèi)部憑證頒發(fā)方信息按附錄定義2)證明方主機(jī)將gpk可信存儲(chǔ)。6.3.3憑證頒發(fā)算法1該算法用于證明方生成申請(qǐng)匿名憑證所需的信息，其輸入、輸出和算法流程如下：a)輸入：憑證頒發(fā)方生成的挑戰(zhàn)隨機(jī)數(shù)nI∈{0,1}2λ以及公共參數(shù)gpk。b)輸出：憑證申請(qǐng)信息comm和證明所需的證明信息aux。c)算法流程：1)TCM首先隨機(jī)選擇f∈Zp*和rf∈Zp，然后計(jì)算并輸出F＝hEQ\*jc3\*hps22\o\al(\s\up3(f),１)和R1=hEQ\*jc3\*hps22\o\al(\s\up3(r),１)f；主機(jī)隨機(jī)選擇然后計(jì)算EQ\*jc3\*hps22\o\al(\s\up4(r),２)EQ\*jc3\*hps22\o\al(\s\up4(r),２)H1（gpk‖C‖R最后向TCM輸入ch和nI；選擇隨機(jī)數(shù)nTR,計(jì)算最后2輸出以及I并將comm發(fā)送給憑證頒發(fā)方。6.3.4憑證頒發(fā)算法2該算法用于憑證頒發(fā)方為證明方生成匿名憑證，其輸入、輸出和算法流程如下：公共參數(shù)gpk。c)算法流程：憑證頒發(fā)方首先驗(yàn)證nI的值是否是由自己生成且沒(méi)有重放，隨后憑證頒發(fā)方驗(yàn)證?EQ\*jc3\*hps22\o\al(\s\up3(s),１)EQ\*jc3\*hps22\o\al(\s\up3(s),２)EQ\*jc3\*hps22\o\al(\s\up3(r),２)xr主機(jī)。6GM／T0079—20206.3.5憑證頒發(fā)算法3該算法用于證明方存儲(chǔ)匿名憑證，其輸入、輸出和算法流程如下：a)輸入：憑證頒發(fā)方為證明方生成的（部分）匿名憑證creA，x，r”）、驗(yàn)證所需信息aux以及公共參數(shù)gpk。c)算法流程：證明方計(jì)算r＝r’＋r”(modp驗(yàn)證e（A，∞gEQ\*jc3\*hps22\o\al(\s\up3(x),２))=e（g1FhEQ\*jc3\*hps22\o\al(\s\up3(r),２),g2)是否成立。如果成該算法用于證明方進(jìn)行匿名證明，生成匿名證明所需的信息，其輸入、輸出和算法流程如下：a)輸入：憑證頒發(fā)方為證明方生成的匿名憑證creA，x，r）、驗(yàn)證所需信息aux、待簽名的消息m（內(nèi)含驗(yàn)證方提供的挑戰(zhàn)隨機(jī)數(shù)）、驗(yàn)證方的基本名bsn和公共參數(shù)gpk。輸出證明信息σc)算法流程下述步驟1)~5)可以在算法調(diào)用前預(yù)計(jì)算］1)TCM隨機(jī)選擇rf∈RZp，計(jì)算并輸出R＝hEQ\*jc3\*hps22\o\al(\s\up3(r),１)f；2)主機(jī)選擇a∈RZp，計(jì)算T＝AhEQ\*jc3\*hps22\o\al(\s\up3(a),２);︿選擇計(jì)算EQ\*jc3\*hps40\o\al(\s\up4(~),R)EQ\*jc3\*hps22\o\al(\s\up3(r),２)︿︿EQ\*jc3\*hps40\o\al(\s\up3(~),R)︿K，T，R1,R2),當(dāng)步驟1)由TCM預(yù)計(jì)算時(shí)；主機(jī)向輸入,計(jì)算c并輸出證明信息該算法用于驗(yàn)證方驗(yàn)證證明方的匿名證明信息，其輸入、輸出和算法流程如下：a)輸入：公共參數(shù)gpk、簽名的消息m、驗(yàn)證方的基本名bsn、證明方生成的匿名證明信息σ=BKTb)輸出：若證明方的匿名證明信息驗(yàn)證通過(guò)，則輸出“有效”；否則輸出“無(wú)效”。c)算法流程：然后驗(yàn)證對(duì)于撤消列表上所有的值fi，K≠Bfi；若且輸出3)驗(yàn)證方首先計(jì)算REQ\*jc3\*hps22\o\al(\s\up3(’),２)=e（T，gEQ\*jc3\*hps22\o\al(\s\up3(－),２)sx∞-c）TEQ\*jc3\*hps22\o\al(\s\up3(c),１)TEQ\*jc3\*hps22\o\al(\s\up3(s),２)fTEQ\*jc3\*hps22\o\al(\s\up3(s),３)bTEQ\*jc3\*hps22\o\al(\s\up3(’),１)EQ\*jc3\*hps22\o\al(\s\up3(’),２)T如果否則輸出7直接匿名證明接口安全芯片應(yīng)提供和三個(gè)匿7GM／T0079—2020名證明命令支持，分別用于ECDAA證明的憑證頒發(fā)過(guò)程和匿名證明過(guò)程。由于TCM_ECDAA_Join和TCM_ECDAA_Sign這兩個(gè)命令的運(yùn)行將消耗TCM內(nèi)部的多數(shù)資源，因而廠商可選擇在它們執(zhí)行期間禁用其他命令。對(duì)于通用的TCM芯片，不同于普通的TCM命令，在同一次憑證頒發(fā)會(huì)話中的TCM_ECDAA_Join或同一次證明-驗(yàn)證會(huì)話中的TCM_ECDAA_Sign將分為多個(gè)階段執(zhí)行。每個(gè)階段完成一個(gè)原子操作，各原子操作合作才能構(gòu)成完整的直接匿名證明功能。由于每個(gè)原子操作只進(jìn)行少量的運(yùn)算和存儲(chǔ)，多階段方式一方面可以最大限度地降低TCM的資源需求，另一方面可以縮短匿名證明過(guò)程獨(dú)占TCM的時(shí)間，減小對(duì)于用戶(hù)使用TCM的影響。鑒于原子操作之間中斷有可能使得TCM內(nèi)部存儲(chǔ)的公共參數(shù)發(fā)生變化，所以應(yīng)在各執(zhí)行階段中檢查公共參數(shù)的一致性。TCM芯片匿名證明實(shí)現(xiàn)上可以選擇支持多個(gè)并行的匿名證明會(huì)話或僅支持單個(gè)匿名證明會(huì)話。如果僅支持單個(gè)匿名證明會(huì)話，則新調(diào)用的TCM_ECDAA_Setup命令將清除TCM內(nèi)部原有的匿名證明數(shù)據(jù)結(jié)構(gòu)。TCM必須驗(yàn)證公共參數(shù)的合法性。公共參數(shù)必須由合法的憑證頒發(fā)方簽名，否則敵手可能選擇特殊的公共參數(shù)來(lái)與TCM執(zhí)行ECDAA協(xié)議，進(jìn)而獲取TCM的秘密值f的部分信息。本章規(guī)范了TCM匿名證明接口以及主要的內(nèi)部運(yùn)行流程，除下文規(guī)定的步驟之外，還應(yīng)進(jìn)行其他必要的運(yùn)算和檢查。例如，應(yīng)檢查通用參數(shù)(tag、paramSize、ordinal)和授權(quán)相關(guān)參數(shù)，詳見(jiàn)表1、表2、表4、表5、表7、表8,并在發(fā)現(xiàn)錯(cuò)誤的情況下按照普通TCM命令的相關(guān)規(guī)則予以處理。具體參數(shù)格式按GM/T0012的規(guī)定執(zhí)行。命令7.2.1接口輸入?yún)?shù)定義接口輸入?yún)?shù)定義TCM_ECDAA_Setup命令只能由TCM所有者向安全芯片TCM發(fā)起，命令執(zhí)行前，TCM所有者需先執(zhí)行TCM的授權(quán)會(huì)話功能，TCM分配相應(yīng)授權(quán)會(huì)話句柄和序列號(hào)并返回給TCM所有者，然后TCM所有者才能按照表1所規(guī)范的命令格式執(zhí)行TCM_ECDAA_Setup命令。表規(guī)范了命令接口的輸入?yún)?shù)。命令接口輸入?yún)?shù)序號(hào)類(lèi)型名稱(chēng)說(shuō)明12TCM_TAGTag命令類(lèi)型標(biāo)識(shí)24UINT32paramSize輸入?yún)?shù)的總長(zhǎng)度（字節(jié)數(shù)）34TCM_COMMAND_CODEordinal命令碼44TCM_HANDLE匿名證明會(huì)話句柄51BYTE命令執(zhí)行階段64UINT32inputSize0的長(zhǎng)度字節(jié)數(shù)）7<>BYTE[]inputData0輸入?yún)?shù)084UINT32inputSize1的長(zhǎng)度字節(jié)數(shù)）9<>BYTE[]inputData1輸入?yún)?shù)14TCM__AUTHHANDLEauthHandle屬主授權(quán)會(huì)話句柄<>TCM__AUTHDATAownerAuth主要輸入?yún)?shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為參數(shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)8GM／T0079—20207.2.2接口輸出參數(shù)定義規(guī)范了命令接口的輸出參數(shù)。命令接口輸出參數(shù)序號(hào)類(lèi)型名稱(chēng)說(shuō)明12TCM_TAGTag命令類(lèi)型標(biāo)識(shí)24UINT32paramSize輸入?yún)?shù)的總長(zhǎng)度（字節(jié)數(shù)）34TCM__RESULTreturnCode執(zhí)行結(jié)果44UINT32outputSize輸出數(shù)據(jù)長(zhǎng)度5<>BYTE[]outputData輸出數(shù)據(jù)6<>TCM__AUTHDATAresAuth主要輸出參數(shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為參數(shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)其中與輸入?yún)?shù)相同。7.2.3命令處理流程TCM_ECDAA_Setup命令執(zhí)行分為若干個(gè)階段，表3規(guī)范了各階段功能的詳細(xì)定義。階段0的接口輸入句柄參數(shù)為空，輸出參數(shù)為新的Setup會(huì)話句柄，作為階段1和階段2的接口輸入句柄參數(shù)。階段1為驗(yàn)證憑證頒發(fā)方公鑰證書(shū)鏈操作，需要重復(fù)執(zhí)行，重復(fù)次數(shù)為公鑰證書(shū)鏈長(zhǎng)度。處理流程階段輸入?yún)?shù)0輸入?yún)?shù)1操作輸出參數(shù)暫存數(shù)據(jù)0憑證頒發(fā)方公鑰證書(shū)鏈長(zhǎng)度無(wú)初始化會(huì)話句柄無(wú)1公鑰對(duì)公鑰的簽名驗(yàn)證憑證頒發(fā)方公鑰證書(shū)鏈無(wú)公鑰2憑證頒發(fā)方公共參數(shù)對(duì)公共參數(shù)的簽名值設(shè)置公共參數(shù)無(wú)無(wú)命令處理流程如下：檢查當(dāng)前中是否有足夠資源執(zhí)行如果不足則返回SOURCES（會(huì)話資源不足，需要釋放已經(jīng)建立的授權(quán)會(huì)話或者傳輸會(huì)話）或TCM__NOSPACE（密鑰存儲(chǔ)空間不足，需要釋放已經(jīng)加載的密鑰）。設(shè)置中的所有域?yàn)?GM／T0079—2020設(shè)置中的所有域?yàn)樵O(shè)置中的所有域?yàn)閑)驗(yàn)證輸入?yún)?shù)0的長(zhǎng)度不超過(guò)相應(yīng)數(shù)據(jù)結(jié)構(gòu)可存儲(chǔ)數(shù)值長(zhǎng)度的上限值，即驗(yàn)證sizeOf(input-如不相等TCM__ECDAA_INPUT_DATA0。驗(yàn)證如不滿足則返回錯(cuò)誤碼設(shè)置h)為本次Setup會(huì)話分配會(huì)話句柄，并將outputData設(shè)置為該句柄。設(shè)置設(shè)置返回命令處理流程如下：驗(yàn)證如不相等STAGE,清除會(huì)話句柄。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。如果設(shè)置設(shè)置-ECDAA_scratch)。設(shè)置設(shè)置作為公鑰驗(yàn)證的合法簽名如果不是則返回錯(cuò)誤碼設(shè)置減如果設(shè)置設(shè)置設(shè)置返回命令處理流程如下：驗(yàn)證如不相等STAGE,清除會(huì)話句柄。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_ISSUER__SETTINGS。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。GM／T0079—2020d)驗(yàn)證輸入?yún)?shù)0的長(zhǎng)度不超過(guò)相應(yīng)數(shù)據(jù)結(jié)構(gòu)可存儲(chǔ)數(shù)值長(zhǎng)度的上限值，即驗(yàn)證sizeOf(input-),如不相等則返回錯(cuò)誤碼PUT_DATA0。設(shè)置設(shè)置驗(yàn)證如不滿足返回錯(cuò)誤碼_ECDAA_INPUT_DATA0。設(shè)置設(shè)置為公鑰驗(yàn)證是的合法簽名，如不滿足，返回錯(cuò)誤碼TCM__ECDAA_ISSUER_VALIDITY。k)設(shè)置___設(shè)置設(shè)置設(shè)置返回命令7.3.1接口輸入?yún)?shù)定義接口輸入?yún)?shù)定義TCM_ECDAA_Join命令只能由TCM所有者向安全芯片TCM發(fā)起，命令執(zhí)行前，TCM所有者需先執(zhí)行TCM的授權(quán)會(huì)話功能，TCM分配相應(yīng)授權(quán)會(huì)話句柄和序列號(hào)并返回給TCM所有者，然后TCM所有者才能按照表4所規(guī)范的命令格式執(zhí)行TCM_ECDAA_Join命令。表4規(guī)范了TCM_ECDAA_Join命令接口的輸入?yún)?shù)。命令接口輸入?yún)?shù)序號(hào)類(lèi)型名稱(chēng)說(shuō)明12TCM_TAGTag命令類(lèi)型標(biāo)識(shí)24UINT32paramSize輸入?yún)?shù)的總長(zhǎng)度（字節(jié)數(shù)）34TCM_COMMAND_CODEOrdinal命令碼44TCM_HANDLEHandle匿名證明會(huì)話句柄51BYTE命令執(zhí)行階段64UINT32inputSize0的長(zhǎng)度字節(jié)數(shù)）7<>BYTE[]inputData0輸入?yún)?shù)084UINT32inputSize1的長(zhǎng)度字節(jié)數(shù)）9<>BYTE[]inputData1輸入?yún)?shù)14TCM__AUTHHANDLEauthHandle屬主授權(quán)會(huì)話句柄<>TCM__AUTHDATAownerAuth主要輸入?yún)?shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為輸入?yún)?shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)GM／T0079—20207.3.2接口輸出參數(shù)定義表5規(guī)范了TCM_ECDAA_Join命令接口的輸出參數(shù)。命令接口輸出參數(shù)序號(hào)類(lèi)型名稱(chēng)說(shuō)明12TCM_TAGTag命令類(lèi)型標(biāo)識(shí)24UINT32paramSize輸入?yún)?shù)的總長(zhǎng)度（字節(jié)數(shù)）34TCM__RESULTreturnCode執(zhí)行結(jié)果44UINT32輸出數(shù)據(jù)0長(zhǎng)度5<>BYTE[]輸出數(shù)據(jù)064UINT32輸出數(shù)據(jù)1長(zhǎng)度7<>BYTE[]輸出數(shù)據(jù)18<>TCM__AUTHDATAresAuth主要輸出參數(shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為輸入?yún)?shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)其中ordinal與輸入?yún)?shù)相同。7.3.3命令處理流程TCM_ECDAA_Join命令執(zhí)行分為若干個(gè)階段，表6規(guī)范了各階段功能的詳細(xì)定義。階段0的接口輸入句柄參數(shù)為Setup命令會(huì)話句柄，輸出參數(shù)包含新的Join會(huì)話句柄，代替原Setup會(huì)話句柄，用于階段1和階段2的接口輸入句柄參數(shù)。階段2結(jié)束會(huì)清除該會(huì)話句柄。處理流程階段輸入?yún)?shù)輸入?yún)?shù)1操作輸出參數(shù)0輸出參數(shù)1暫存數(shù)據(jù)0憑證頒發(fā)方公共參數(shù)初始化公共參數(shù)生成秘密信息fF＝hEQ\*jc3\*hps19\o\al(\s\up3(f),１)生成rfR1=hEQ\*jc3\*hps19\o\al(\s\up3(r),１)fJoin會(huì)話句柄Fp1I生成nTT無(wú)2無(wú)無(wú)enc(ECDAA_enc(ECDAA_無(wú)無(wú)GM／T0079—2020命令處理流程如下：a)檢查當(dāng)前TCM中是否有足夠資源執(zhí)行ECDAA_Join。如果不足，則返回TCM_RESOURCES（會(huì)話資源不足，需要釋放已經(jīng)建立的授權(quán)會(huì)話或者傳輸會(huì)話）或TCM__NOSPACE（密鑰存儲(chǔ)空間不足，需要釋放已經(jīng)加載的密鑰）。設(shè)置驗(yàn)證中的所有域都存在_DATA0。設(shè)置中的所有域?yàn)閑)為會(huì)話分配新句柄，設(shè)置outputData0為新句柄。驗(yàn)證如不相等則返回錯(cuò)誤碼設(shè)置驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_INPUT_DATA1。設(shè)置驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_INPUT_DATA1。k)利用隨機(jī)數(shù)發(fā)生器RNG獲取32字節(jié)長(zhǎng)隨機(jī)數(shù)，并將其存儲(chǔ)于X。設(shè)置設(shè)置設(shè)置計(jì)算。設(shè)置p)利用隨機(jī)數(shù)發(fā)生器RNG獲取32字節(jié)長(zhǎng)隨機(jī)數(shù)，并將其存儲(chǔ)于X。設(shè)置設(shè)置設(shè)置計(jì)算。設(shè)置設(shè)置設(shè)置設(shè)置設(shè)置返回命令處理流程如下：驗(yàn)證如不相等則返回錯(cuò)誤碼STAGE,清除會(huì)話句柄。驗(yàn)證GM／T0079—2020如不相等，則返回錯(cuò)誤碼TCM__ECDAA_ISSUER__SETTINGS。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。設(shè)置設(shè)置設(shè)置g)利用隨機(jī)數(shù)發(fā)生器RNG獲取32字節(jié)長(zhǎng)隨機(jī)數(shù)，并將其存儲(chǔ)于Z。設(shè)置設(shè)置設(shè)置設(shè)置設(shè)置設(shè)置計(jì)算設(shè)置設(shè)置設(shè)置加設(shè)置返回命令處理流程如下：驗(yàn)證如不相等STAGE,清除會(huì)話句柄。驗(yàn)證如果相等，返回錯(cuò)誤碼TCM__ECDAA_ISSUER__SETTINGS。驗(yàn)證如不相等，返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。計(jì)算并填充數(shù)據(jù)結(jié)構(gòu)設(shè)置為加密后的TCM_ECDAA_BLOB類(lèi)型數(shù)據(jù)，加密密鑰為T(mén)CM的ECDAA存儲(chǔ)保護(hù)密鑰。設(shè)置設(shè)置g)清除會(huì)話句柄。返回命令7.4.1接口輸入?yún)?shù)定義TCM_ECDAA_Sign命令只能由TCM所有者向安全芯片TCM發(fā)起，命令執(zhí)行前，TCM所有者需先執(zhí)行TCM的授權(quán)會(huì)話功能，TCM分配相應(yīng)授權(quán)會(huì)話句柄和序列號(hào)并返回給TCM所有者，然后TCM所有者才能按照表7所規(guī)范的命令格式執(zhí)行TCM_ECDAA_Sign命令。表7規(guī)范了TCM_EC-GM／T0079—2020DAA_Sign命令接口的輸入?yún)?shù)。接口輸入?yún)?shù)序號(hào)類(lèi)型名稱(chēng)描述12TCM_TAG標(biāo)識(shí)符24UINT32paramSize輸入?yún)?shù)總長(zhǎng)度（字節(jié)數(shù)）34TCM_COMMAND_CODEordinal命令碼44TCM_HANDLE匿名證明會(huì)話句柄51BYTE命令執(zhí)行階段64UINT32inputSize0輸入?yún)?shù)0的長(zhǎng)度（字節(jié)數(shù)）7<>BYTE[]inputData0輸入?yún)?shù)084UINT32inputSize1輸入?yún)?shù)1的長(zhǎng)度（字節(jié)數(shù)）9<>BYTE[]inputData1輸入?yún)?shù)14TCM__AUTHHANDLEauthHandle屬主授權(quán)會(huì)話句柄<>TCM__AUTHDATAownerAuth主要輸入?yún)?shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為輸入?yún)?shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)7.4.2接口輸出參數(shù)定義表8規(guī)范了TCM_ECDAA_Sign命令接口的輸出參數(shù)。接口輸出參數(shù)序號(hào)類(lèi)型名稱(chēng)描述12TCM_TAGTag標(biāo)識(shí)符24UINT32paramSize輸入?yún)?shù)的總長(zhǎng)度（字節(jié)數(shù)）34TCM__RESULTreturnCode執(zhí)行結(jié)果44UINT32輸出數(shù)據(jù)0的長(zhǎng)度5<>BYTE[]輸出數(shù)據(jù)064UINT32輸出數(shù)據(jù)1的長(zhǎng)度7<>BYTE[]輸出數(shù)據(jù)18<>TCM__AUTHDATAresAuth主要輸出參數(shù)的消息認(rèn)證碼，以屬主授權(quán)值為密鑰注1：長(zhǎng)度值為“”意為輸入?yún)?shù)長(zhǎng)度與實(shí)現(xiàn)所采用的密碼學(xué)算法有關(guān)。注2：輸入?yún)?shù)中的消息認(rèn)證碼計(jì)算方法為：序列號(hào)其中ordinal與輸入?yún)?shù)相同。7.4.3命令處理流程TCM_ECDAA_Sign命令執(zhí)行分為若干個(gè)階段，表9規(guī)范了各階段功能的詳細(xì)定義。階段0的接GM／T0079—2020口輸入句柄參數(shù)為空，輸出參數(shù)包含新的Sign會(huì)話句柄，作為階段1和階段2的接口輸入句柄參數(shù)。階段2結(jié)束會(huì)清除該會(huì)話句柄。接口處理流程階段輸入?yún)?shù)0輸入?yún)?shù)1操作輸出參數(shù)0輸出參數(shù)1暫存數(shù)據(jù)0憑證頒發(fā)方公共參數(shù)加密的TCM秘密信息初始化公共參數(shù)載入TCM秘密Sign會(huì)話句柄無(wú)無(wú)1p1生成rfR＝hEQ\*jc3\*hps19\o\al(\s\up3(r),１)fR無(wú)p2-m生成nT-T無(wú)命令處理流程如下：a)檢查當(dāng)前TCM中是否有足夠資源執(zhí)行ECDAA_Sign。如果不足，則返回TCM_RESOURCES（會(huì)話資源不足，需要釋放已經(jīng)建立的授權(quán)會(huì)話或者傳輸會(huì)話）或TCM__NOSPACE（密鑰存儲(chǔ)空間不足，需要釋放已經(jīng)加載的密鑰）。設(shè)置驗(yàn)證中的所有域都存在DATA0。設(shè)置中的所有域?yàn)閑)為本次Sign會(huì)話分配新句柄，設(shè)置outputData0為新句柄。設(shè)置驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM_ECDAA_ISSUER_SETTINGS。設(shè)置設(shè)置設(shè)置返回命令處理流程如下：驗(yàn)證如不相等STAGE,清除會(huì)話句柄。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_ISSUER__SETTINGS。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。GM／T0079—2020設(shè)置驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_INPUT_DATA0。設(shè)置驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_INPUT_DATA1。h)利用隨機(jī)數(shù)發(fā)生器RNG獲取32字節(jié)長(zhǎng)隨機(jī)數(shù)，并將其存儲(chǔ)于Y。設(shè)置設(shè)置設(shè)置計(jì)算設(shè)置設(shè)置加設(shè)置返回命令處理流程如下：驗(yàn)證STAGE,清除會(huì)話句柄。驗(yàn)證如不相等，返回錯(cuò)誤碼TCM__ECDAA_ISSUER__SETTINGS。驗(yàn)證如不相等，則返回錯(cuò)誤碼TCM__ECDAA_TCM__SETTINGS。設(shè)置設(shè)置設(shè)置g)利用隨機(jī)數(shù)發(fā)生器RNG獲取32字節(jié)長(zhǎng)隨機(jī)數(shù)，并將其存儲(chǔ)于Z。設(shè)置設(shè)置設(shè)置設(shè)置設(shè)置設(shè)置計(jì)算設(shè)置設(shè)置q)清除會(huì)話句柄。返回GM／T0079—2020附錄A（規(guī)范性）直接匿名證明接口數(shù)據(jù)結(jié)構(gòu)A.1基本數(shù)據(jù)類(lèi)型定義基本數(shù)據(jù)類(lèi)型定義見(jiàn)表A.1。表A.1基本數(shù)據(jù)類(lèi)型定義類(lèi)型描述BYTE無(wú)符號(hào)字符類(lèi)型UINT16無(wú)符號(hào)16位整型UINT32無(wú)符號(hào)32位整型A.2導(dǎo)出數(shù)據(jù)類(lèi)型定義導(dǎo)出數(shù)據(jù)類(lèi)型定義見(jiàn)表A.2。表A.2導(dǎo)出數(shù)據(jù)類(lèi)型定義類(lèi)型定義描述TCM_COMMAND_CODEUINT32命令碼類(lèi)型TCM_HANDLEUINT32句柄類(lèi)型TCM__AUTHHANDLETCM_HANDLE授權(quán)句柄類(lèi)型TCM_TAGUINT16命令標(biāo)識(shí)類(lèi)型TCM__STRUCTURE_TAGUINT16數(shù)據(jù)結(jié)構(gòu)標(biāo)識(shí)類(lèi)型TCM__NONCEBYTE[]隨機(jī)數(shù)類(lèi)型TCM_DIGESTBYTE[]密碼雜湊類(lèi)型TCM__AUTHDATABYTE[]授權(quán)數(shù)據(jù)類(lèi)型TCM__RESULTUINT32執(zhí)行結(jié)果類(lèi)型A.3數(shù)據(jù)結(jié)構(gòu)定義用于表示的公鑰。;}TCM__ECDAA_ISSUERGM／T0079—2020TCM_ECDAA_ISSUER數(shù)據(jù)結(jié)構(gòu)見(jiàn)表A.3。表A.3TCM＿ECDAA＿ISSUER數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM__STRUCTURE_TAGTag數(shù)據(jù)結(jié)構(gòu)標(biāo)識(shí)TCM_DIGEST憑證頒發(fā)方公鑰中p的摘要值TCM_DIGEST憑證頒發(fā)方公鑰中h1的摘要值TCM_DIGEST憑證頒發(fā)方公鑰中k0的摘要值TCM_ECDAA_TCM用于存儲(chǔ)DAA過(guò)程中與TCM相關(guān)的參數(shù)信息。當(dāng)該結(jié)構(gòu)只能以密文形式被從TCM導(dǎo)出，且只能被創(chuàng)建該結(jié)構(gòu)的TCM導(dǎo)入。;TCM_DIGESTBYTE[32]UINT32;ECDAA__count;}TCM__ECDAA_TCMTCM_ECDAA_TCM數(shù)據(jù)類(lèi)型見(jiàn)表A.4。表A.4TCM＿ECDAA＿TCM數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM__STRUCTURE_TAGTag數(shù)據(jù)類(lèi)型標(biāo)識(shí)TCM_DIGESTTCM_ECDAA_ISSUER結(jié)構(gòu)的摘要值BYTE[32]ECDAA過(guò)程中TCM產(chǎn)生的秘密信息fUNIT32ECDAA__countECDAA過(guò)程中憑證頒發(fā)方證書(shū)鏈長(zhǎng)度A.3.3TCM＿ECDAA＿CONTEXTTCM_ECDAA_CONTEXT用于存儲(chǔ)ECDAA過(guò)程的上下文信息。;;BYTE[]ECDAA__scratch;BYTE[]ECDAA__rf;;}TCM__ECDAA_CONTEXTTCM_ECDAA_CONTEXT數(shù)據(jù)類(lèi)型見(jiàn)表A.5。GM／T0079—2020表A.5TCM＿ECDAA＿CONTEXT數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM__STRUCTURE_TAGTag數(shù)據(jù)類(lèi)型標(biāo)識(shí)TCM_DIGEST上下文信息的摘要BYTE[]ECDAA__scratch用于存儲(chǔ)ECDAA過(guò)程中各階段間傳遞的參數(shù)信息BYTE[]ECDAA__rfTCM產(chǎn)生的用于隱藏f的隨機(jī)數(shù)BYTE用于記錄當(dāng)前ECDAA進(jìn)行到的階段信息A.3.4TCM＿PERMANENT＿DATATCM_PERMANENT__DATA給出了針對(duì)ECDAA過(guò)程TCM_PERMANENT_DATA中需要增加的變量。;}TCM_PERMANENT_DATATCM_PERMANENT_DATA數(shù)據(jù)結(jié)構(gòu)見(jiàn)表A.6。表A.6TCM＿PERMANENT＿DATA數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM_KEYecdaaBlobKeyECDAA存儲(chǔ)保護(hù)密鑰A.3.5TCM＿STANY＿DATATCM__STANY_DATA給出了針對(duì)ECDAA過(guò)程TCM__STANY_DATA中需要增加的變量。{;TCM__ECDAA_CONTEXTECDAA__session;}TCM__STANY_DATATCM_STANY_DATA數(shù)據(jù)類(lèi)型見(jiàn)表A.7。表A.7TCM＿STANY＿DATA數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM__ECDAA__ISSUER數(shù)據(jù)頒發(fā)方信息TCM__ECDAA_TCMTCM內(nèi)部信息TCM__ECDAA_CONTEXTECDAA__session證明會(huì)話信息A.3.6TCM＿ECDAA＿BLOB用來(lái)表示過(guò)程后得到的數(shù)據(jù)塊。{GM／T0079—2020TCM__STRUCTURE_TAGBYTE[16]TCM_DIGESTUINT32additionalSize;[size_is(additionalSize)]UINT32sensitiveSize;[size_is(sensitiveSize)]}TCM__ECDAA_BLOBTCM_ECDAA_BLOB數(shù)據(jù)類(lèi)型見(jiàn)表A.8。表A.8TCM＿ECDAA＿BLOB數(shù)據(jù)類(lèi)型類(lèi)型成員域名稱(chēng)描述TCM__STRUCTURE_TAGTag數(shù)據(jù)類(lèi)型標(biāo)識(shí)BYTE[16]自定義標(biāo)簽TCM_DIGESTblobIntegrity的摘要值UINT32additionalSize的長(zhǎng)度BYTEadd