标准规范下载简介
GB/T 39205-2020 信息安全技术 轻量级鉴别与访问控制机制.pdf简介:
"GB/T 39205-2020 信息安全技术 轻量级鉴别与访问控制机制"是中国国家标准,全称为《信息安全技术 轻量级鉴别与访问控制机制》,发布于2020年。该标准主要关注在信息安全领域,特别是在轻量级(Lightweight)的环境下的鉴别(Authentication)与访问控制(Access Control)技术。轻量级鉴别是指在资源有限的设备或系统中,采用效率高、计算量小的鉴别方法,以确保安全性的机制。访问控制则是确定用户或系统对特定资源的访问权限的一种管理方式。
该标准可能包括了轻量级鉴别和访问控制的原理、设计方法、实施步骤、安全要求、测试方法以及相关术语和定义,旨在为轻量级环境下的信息系统提供一套安全与效率兼顾的管理和控制规范。通过遵循该标准,可以有效提升在物联网、移动设备等资源受限环境下的信息安全水平。
GB/T 39205-2020 信息安全技术 轻量级鉴别与访问控制机制.pdf部分内容预览:
国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 术语和定义 符号和缩略语 4.1 符号 4.2 缩略语 轻量级鉴别机制 5.1 概述 5.2 基于异或运算的鉴别机制 5.3 基于密码杂凑算法的鉴别机制 5.4 基于分组密码算法的鉴别机制 轻量级访问控制机制 61概述
6.1概述 6.2基于分组密码算法的访问控制机制 6.3基于访问控制列表的访问控制机制
JC∕T 2314-2015 光伏玻璃用硅质原料本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:西安西电捷通无线网络通信股份有限公司、中关村无线网络安全产业联盟、国家 无线电监测中心检测中心、国家密码管理局商用密码检测中心、中国电子技术标准化研究院、天津市无 线电监测站、中国科学院软件研究所、国家信息技术安全研究中心、北京数字认证股份有限公司、数安时 代科技股份有限公司、重庆邮电大学、北京大学深圳研究生院、中国通用技术研究院、北京计算机技术及 应用研究所。 本标准主要起草人:李琴、杜志强、黄振海、张国强、颜湘、陶洪波、李冬、李冰、许玉娜、刘景莉、铁满霞 王月辉、吴冬宇、于光明、龙昭华、朱跃生、张永强、张严、熊克琦、刘科伟、赵晓荣、张变玲、高德龙、郑骊 王莹、赵慧、张璐璐、朱正美、黄奎刚、傅强
GB/T39205—2020
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些 为责任。
GB/T 392052020
本标准规定了轻量级的签别机制与访问控制机制。 本标准适用于无线传感器网络、射频识别、近场通信等资源受限的应用场景下鉴别与访问控制机制 设计开发和应用
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 鉴别机制 authenticationmechanism 证实实体是其所声称的实体的机制。 3.2 访问控制 access control 保证数据处理系统的资源只能由被授权主体按照授权方式进行访问的手段。 3.3 可信第三方 trusted third party 在同安全相关的活动方面,被其他实体信任的安全机构或其代理。 注:可信第三方是实体A和实体B所信任的第三方实体,可对实体A和实体B的身份真实性进行验证
下列符号适用于本文件。 ④:异或运算(XOR) Ⅱ:消息串联
轻量级鉴别机制在实现实体之间的身份真实性确认的同时降低鉴别过程中的计算和通信复杂度 较之通常的机制,轻量级鉴别机制有如下几个衡量角度: a)计算资源占用少; b) 交互消息少; C 耗时短; d)所需要的存储空间少
5.2基于异或运算的鉴别机制
基于异或运算的鉴别机制,通过简单的异或、移位运算来实现实体A和实体B之间的身 的确认,鉴别过程见图1。
1基于异或运算的鉴别机制消息交互示意图
5.3基于密码杂漆算法的鉴别机制
图2基于密码杂凑算法的鉴别机制消息交互示意
MAC子MACs,实体A对实体B鉴别失败;如果MAC=MACs,则实体A对实体B鉴别成 功.实体A启用会话密钥SK.开始与实体B进行会话。
5.4基于分组密码算法的鉴别机制
基于分组密码算法的鉴别机制,利用分组密码算法实现实体A和实体B之间的身份鉴别,交工 见图3。该机制中分组密码算法应使用GB/T32907定义的SM4算法。
基于分组密码算法的鉴别机制消息交互示意
GB/T39205—2020
与实体A的会话密钥。 注:E为一种分组加密算法,CTⅡMIC=E(KEY,S)表示将KEY对S进行加密并计算完整性校验码,其中CT表示 密文,MIC表示完整性校验码,CT和MIC的拆分取决于具体的应用。在一些模式中,需先基于KEY导出消息 完整性校验密钥和消息加密密钥,然后再分别使用该两个密钥计算完整性校验码和密文。在解密验证时,根据 所使用的模式不同,验证完整性校验码和解密的先后顺序可能不同
轻量级访向控制机制基于分组 等实现对用户的访问控制。较之 内机制,轻量级访问控制机制从 行衡量
DB11/T 1710-2019标准下载6.2基于分组密码算法的访问控制机制
访问控制过程如下: a)User在向网络中的DAE发送访问请求之前,首先向DAE发送鉴别请求消息,该消息中主要 包含User产生的随机数Ni; b)DAE收到User的鉴别请求消息后,产生随机数N?,并利用与ACr之间的共享密钥KAcr.DAE 计算ET,=E(KACrDAE,N,),将N,NET,作为鉴别响应消息发送给User,其中,E为对称
加密算法; User收到DAE的鉴别响应消息后,首先判断消息中的随机数Ni是否是User选择的随机数, 若不是,直接丢弃该消息;若是,则利用与ACr之间的共享密钥KACrUser计算ET,=E (KACr,User,N,),计算消息鉴别码MIC,=HMAC(KACr.User,NIIDDAEIETIlET,),构造实体 鉴别请求消息NIIDDAEIIET,IIET2IMIC发送给ACr,其中,IDpAE是DAE的身份标识; ACr收到User的实体鉴别请求消息后,首先根据MIC判断消息的完整性,若验证不通过,丢 弃该消息;若验证通过,利用与DAE之间的共享密钥KACDAE解密ET1,若解密后得到的N与 User在步骤c)中发送的N,不相等,ACr构造实体鉴别响应消息N,IIIDpAEIRES(DAE)Ⅱ MICz发送给User,其中MIC2=HMAC(KACr,User,NIIIDpAEIIRES(DAE)),Res(DAE) Failure表示ACr对DAE鉴别失败;若解密后得到的N,与User在步骤c)中发送的N相等, ACr利用与User共享的密钥KACr,User解密ET2,若解密后得到的N,与User在步骤c)中发送 的Ni不相等,终止鉴别;若解密后得到的Ni与User在步骤c)中发送的Ni相等,ACr生成 User和DAE间的会话密钥KpAE.User,并根据User的身份标识查询ACL,获得User的访问控 制信息ACLUser,连同User的访问期限Tv,利用KACr.DAE计算ET,=E(KACr.DAE,IDuserI KDAE.User IlTvII ACLUser),并利用KAC,User计算ET,=E(KACr.User,KDAE,User),计算MIC2= HMAC(KACr.User,NIIIDDAEIIRES(DAE)IIET:IIET。),构造实体鉴别响应消息NIIIDDAE IRES(DAE)IIETIIETIMIC,发送给User,其中,RES(DAE)=True表示ACr对DAE 鉴别成功; User收到ACr的实体鉴别响应消息后,首先判断随机数N是否是User选择的随机数,若不 是,丢弃该消息;若是,根据MIC2判断消息的完整性;若验证不通过,丢弃该消息;若验证通过, User根据RES(DAE)判断DAE的合法性,若RES(DAE)=Failure,表示DAE非法,User终 止访问;若RES(DAE)=True,User解密消息中的ET,产生随机数N,连同DAE的随机数 Nz以及User的访问请求利用解密后获得的与目的访问实体间的会话密钥KDAE.User计算ET =E(KAE.User,N2INIDuserIQuser),计算MIC=HMAC(KDAE.User,ETIET,),构造访问 请求消息ET:IIET,IMIC发送给DAE; f)DAE收到User的访问请求后,首先解密ET:,获得会话密钥KpME.User,根据MICs判断消息完 整性,若校验不通过,拒绝访问;若校验通过,利用KDAE,User解密ET5,判断解密后得到的N2是 否是DAE选择的N2,若不是,拒绝访;若是,则确认解密ETs后获得的IDuser是否是请求访 问的User的身份标识,若不是,拒绝访问;若是,记录当前时刻Tc,从Tc到(Tc十Tv)这段时 间即为User的访问有效期,用户只能在此有效期内访问网络数据,DAE根据ACLuser判断 User的访问请求Quser是否合法,若不合法,拒绝访问;若合法,生成应答数据RDAE,连同N:利 用KDAE,User计算ET:=EKDAE,User,N:IlRDAE),计算MIC,=HMAC(KDAE.User,ET),构造访问 响应消息ET,IIMIC,发送给User; g)User收到访问响应消息后,首先根据MIC。判断消息完整性,若不完整,丢弃该消息;若完整 利用KDAE.User解密ET:,判断解密得到的N:是否是User选择的N:,若不是,丢弃该消息;若 是,User保存应答数据RpAE,后续User与DAE之间的访问请求和应答数据均利用KpAE,Us 加以保护
GB∕T 34558-2017 金属基复合材料术语6.3基于访问控制列表的访问控制机制
基于访问控制列表的访问控制机制适用于网络对各类用户的访问控制,该机制见ISO/IEC291 12,交互过程见图5。
基于访问控制列表的访问控制机制消息交互示意