任務來源2011年，經國家標準化管理委員會批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，研究制定《遠程口令鑒別與密鑰建立規范》國家標準，國標計劃號：2011XXXX－T-XXX。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由中國科學院軟件研究所負責主編。編制背景實體身份鑒別是信息安全體系中核心的基礎內容之一，目前，我國GB/T15843系列標準已經對使用對稱密碼技術、非對稱數字簽名技術以及知識證明技術進行實體身份鑒別的具體要求和實現路線進行了規范，為基于不同技術實現的實體鑒別提供了互操作的基礎。然而目前在實際的網絡信息應用系統中獲得廣泛應用的基于口令的認證技術并沒有相應的標準和技術規范。由于容易記憶、無需龐大的基礎設施支撐、管理方便等特點，基于口令的身份鑒別技術更為普通大眾所接受，也是目前應用最廣泛的一種身份鑒別方式。然而，由于口令的選擇空間較小且通常是具有特定意義的詞組，造成了基于口令的身份鑒別協議往往容易受到攻擊。而現今許多應用系統實現的口令鑒別協議在設計時往往未對這些攻擊進行充分考慮，造成了潛在的安全問題。解決口令猜測攻擊的一個有效方法是結合使用公鑰密碼學和基于口令的技術。應用公鑰密碼技術可以構造安全地使用口令的身份鑒別和密鑰協商協議，完成身份鑒別和建立會話密鑰，并能夠防止離線的窮舉攻擊，而且也易于用戶使用。目前實際系統中使用的基于口令的遠程實體鑒別和會話密鑰協商機制沒有一個統一的規范，各種應用系統中采用的算法和相關協議技術缺乏安全評估，存在很大安全隱患，特別是在安全要求很高的應用中更容易出現安全問題，導致巨大的經濟損失。因此亟須對基于口令的實體鑒別和密鑰協商機制進行深入研究和標準化。編制意義和目的實體身份鑒別是信息安全體系中核心的基礎內容之一，其實現方式多種多樣，包括使用對稱密碼技術、非對稱數字簽名技術、零知識證明技術以及基于口令的密碼技術等。目前，我國GB/T15843系列標準已經對利用前三種技術進行實體身份鑒別的具體要求和實現路線進行了規范，為基于不同技術實現的實體鑒別提供了互操作的基礎。但相比上述方法，由于口令具有容易記憶、無需龐大的PKI基礎設施支撐、管理方便等特點，因此基于口令的身份鑒別技術更為普通大眾所接受，也是目前應用廣泛并且可以預見將在未來相當長一段時間內作為主要的認證技術而存在。然而，由于口令一般由可打印的ASCII字符組成，選擇空間較小，所以容易受到主動或是被動攻擊者的攻擊，更為不利的因素是人通常能方便記憶且易于使用的秘密往往是具有特定意義的單詞或者詞組，更容易遭受諸如字典攻擊等的影響。當使用基于口令技術進行認證時，必須要仔細設計以防止認證協議可能存在的弱點。在公鑰基礎設施支持下，通過混合使用公鑰密碼學和基于口令的技術可以構造安全地使用口令的身份鑒別和密鑰協商協議，完成身份鑒別和建立會話密鑰，并能夠防止離線的窮舉攻擊。遠程口令鑒別和密鑰協商規范在公鑰基礎設施技術支持下，通過定義一組基于口令鑒別的密鑰協商和密鑰恢復方法，對該類協議使用到的數學原理、安全需求和實現機制進行了規范和討論，為相關應用開發者實現基于口令的鑒別系統提供參考，可以填補GB/T15843系列標準中在基于口令技術方面的空白，完善我國實體鑒別標準體系的構成。編制原則1. 本標準按照GB/T1.1-2009《標準化工作導則第1部分：標準的結構和編寫》的要求和規定進行編寫。2. 本標準應與已頒布實施的相關標準GB/T18238系列標準《信息安全安全技術散列函數》、GB/T15843系列標準《信息技術安全技術實體鑒別》等標準協調。3. 標準編寫過程中充分考慮到基于公鑰的口令鑒別技術發展的實際情況，以及目前口令鑒別協議在實際的網絡信息系統中應用情況。盡可能做到清晰、明確，技術人員容易理解，避免出現由于對標準的解釋不同，而指導產品實施的情況。同時，又保證為不同廠商進行擴展留有余地。主要工作過程標準制定的主要工作過程如下：2008年中國科學院軟件研究所作為召集單位成立標準工作組，進行《遠程口令鑒別與密鑰協商規范》標準預編制工作。課題組首先對目前網絡應用系統中使用的口令鑒別協議進行了分析，包括網絡論壇、在線銀行、Windows系統網絡認證和Linux遠程登錄協議。詳細分析了現有應用中口令鑒別系統的優勢和問題。在此基礎上，重點分析基于口令鑒別的密鑰協商和密鑰獲取協議相關的國際標準和研究報告，客觀評估我國基于口令鑒別的建立會話密鑰的安全方法研究和安全產品實現。主要進行了以下工作：調研和分析目前網絡應用系統中采用的口令鑒別技術的優勢和問題；收集和分析基于口令鑒別的密鑰協商和密鑰獲取協議相關的國際標準和研究報告，總結不同方法的性能和適用情況。研究和分析國際和國內采用公鑰技術的SRP協議研究的相關成果。在上述工作的基礎上，調查和分析學術界和工業界對這些標準的反饋情況，結合得到廣泛認可的成熟技術方法編制適合我國的安全標準規范。結合基于離散對數和橢圓曲線的公鑰密碼技術，對選擇的安全性經過時間證明的協議進行了規范化的描述，并經過仔細討論和征求意見，參考IEEE1363.2標準草案修改采用，最終形成國家標準草案。2009年4月，信息安全標準化委員會組織專家對《遠程口令鑒別與密鑰協商規范》組織立項審查，與會專家提出許多建設性意見，贊同參考IEEE1363.2標準草案進行修改采用。2009年中國科學院軟件研究所對《遠程口令鑒別與密鑰協商規范》草案中的相關協議進行實現和實際的應用驗證，對存在的問題和不足進行了總結，并對標準進行了進一步的修訂。在此基礎上，進行了廣泛的意見征集，邀請專家、安全研究工作者及部分應用企業對標準進行了論證，并征求各方面的意見進行再次的修改和整理，并建議更改名稱為《遠程口令鑒別與密鑰建立規范》，于2009年12月完成了標準草案。2010年9月，《遠程口令鑒別與密鑰協商規范》標準預編制項目通過驗收。同年，《遠程口令鑒別與密鑰建立規范》標準編制項目正式立項。2011年12月，形成《遠程口令鑒別與密鑰建立規范》征求意見稿，信息安全標準化委員會組織專家對征求意見稿進行了評審。與會評審專家提出增加標準中方案的適用說明等，項目組根據專家意見對《遠程口令鑒別與密鑰建立規范》進行了仔細的修訂。2012年7月，信息安全標準化委員會組織專家對本標準重點項目征求意見稿進行檢查，與會專家提出對標準內容部分表述進一步中文習慣方式化等眾多意見，項目組進行了逐一修訂，并參考1363.2對文本標準進行了進一步修訂。2012年8月，信息安全標準化委員會組織相關單位和科研院校對征求意見稿進行了投票和意見征集。各個投票單位一致同意形成國標。同時投票單位也對標準提出了很好的建議，本單位針對各個單位的意見對標準進行了修訂。2013年6月4日至2013年6月30日，由信安標委組織公安部十一局、工信部信息安全協調司、國家密碼局等單位，并在網站上公開進行征求意見。2013年7月，軟件研究所根據公安部十一局、工信部信息安全協調司、國家密碼局等單位提出組內審查意見對標準的意見和建議進行了修訂。2013年7月24日，信安標委組織專家對標準進行評審并提出了修改意見。2013年7月，中國科學院根據信安標委專家的意見對標準進行了修改（具體見意見匯總表），形成了送審稿。標準征求意見的落實情況如下：發送《征求意見稿》的單位包括公安部十一局、工信部信息安全協調司、國家密碼局等；回函的單位數為6個；有建議或意見的單位數為6個；沒有回函的單位數為0個。共匯集反饋意見34條，其中未采納的意見3條，其余意見為采納或部分采納，具體參見意見匯總處理表。標準的主要內容本標準的主要內容《遠程口令鑒別與密鑰建立規范》標準主要包括以下幾個方面的內容：1. 基本概念及數學約定：這一部分主要介紹口令鑒別密鑰協商問題的產生背景，涉及的概念術語定義。此外，由于涉及到具體的口令鑒別密鑰協商協議方案，所以還包括使用到的數學符號約定、離散對數體制、橢圓曲線密碼體制約束等。2. 通用模型：這一部分給出一個通用的框架來描述各種不同的基于口令公鑰技密碼術。不同類型的密碼技術可以抽象的理解為三類通用模型：原語、方案和附加方法。原語指基本的數學操作，這些操作基于數論上的困難問題。方案是一個相關操作的集合，聯合應用原語和附加方法。方案能提供基于復雜性理論的安全性。附加方法包括方案的其他組件，如密鑰產生函數，哈希函數，密鑰確認函數和其他技術。整個規范按照這三類模型分別予以描述。3. 原語：這一部分給出具體的口令鑒別與密鑰協商方案用到的群參數設置，密鑰對、口令相關的公開密鑰的定義等。同時還給出了多種口令相關公開密鑰的生成原語，即通過口令及私鑰生成相應公鑰的基本數學操作。4. 口令鑒別與密鑰協商方案：這一部分首先定義口令鑒別密鑰協商方案的基本模型，安全屬性以及通用的操作序列。然后列出具體的口令鑒別與密鑰協商方案，它們都是相對成熟的方案，已被證明是安全的，同時也經過了實際應用的考驗。其中大多數都是國外提出的方案，我們將適當考慮一些新提出的高效口令鑒別協議，特別是我國自主設計的相關協議。口令鑒別密鑰協商方案的基本模型：在口令鑒別密鑰協商方案中，每個參與方使用它自己的基于口令的值和私鑰與其他參與方的公開密鑰一起產生一個或者多個密鑰。其它參與方共享的信息則作為方案的密鑰產生參數。如果參與方使用相關的口令，密鑰和一致的密鑰產生參數，并且方案正確的完成，則參與方就能得到相同的秘密密鑰。口令鑒別密鑰協商方案允許參與方在僅僅共享基于口令值的情況下產生相同的秘密密鑰，并且保證沒有口令相關值的實體不能成功的參與該協議。5. 附加方法：這一部分主要介紹涉及到的密鑰產生函數，哈希函數，密鑰確認函數和其他技術。該部分與其他相關標準保持一致，對于已經標準化的技術不再具體介紹?！哆h程口令鑒別與密鑰建立規范》雖然涉及具體的參數選擇及實現方案，但只是提供應用可能選擇的各種技術規范的一個參考，適當的理論基礎，以及對于安全和實現考慮的廣泛討論，從而幫助安全產品方案提供者選擇合適的技術和安全參數。標準框架本標準主要框架如下：1范圍2規范性引用文件3術語和定義4符號和縮略語5文檔約定6數學定義7模型8原語9口令鑒別密鑰建立方案10密碼函數參考文獻本標準中方案的命名方法“Password-BasedPublicKeyCryptography”草案中的方法命名是基于方案提供者的命名以及方案提供者的姓名縮寫和提名順序等因素。在本標準選擇方案的過程中認為這些名字的意義并不十分明顯，并需要進行較多的說明。因此為了閱讀和使用的方便，本標準在命名時采用了類似“GB/T18238.3-2003信息技術安全技術散列函數”的方法，按照方案的性質和編號進行命名，并在描述每個方案時對方案進行了注解，以方便讀者了解方案的出處并進一步閱讀。本標準中方案的選擇與應用口令鑒別系統設計者應根據應用環境選擇具體的口令方案。主要考慮以下幾點：1. 設備支持的算法。在PC中，離散對數算法和橢圓曲線算法一般都能支持。然而考慮到方案也有可能使用在智能卡等設備中，就需要考慮智能卡支持的算法，如果支持離散對數算法，則只能選擇離散對數方案。2. 口令的保存方式。如果應用需要保存明文口令，以備它用，則需要選擇平衡的口令鑒別密鑰建立協議。如果沒有使用明文的需求，則建議采用擴展的口令鑒別密鑰建立協議。3. 方案復雜度。根據選擇的原語不同以及方案本身的不同，方案的復雜度略有不同。選擇的原語生成方式復雜時，方案可能會較為簡單。因此在方案和原語的選擇上可以考慮現有的開發基礎。本標準中方案的注解根據GB/T1.1-2009的7.2.1節規定：條文的注和示例應為資料性，應只給出有助于理解或使用標準的附加信息，不應包含要求或對于標準的應用是不可缺少的任何信息。本標準鐘對于方案的注是該方案的出處相關的文章、文檔等，是為讀者提供了更進一步閱讀的材料，因此是資料性的，對于標準的應用沒有影響，符合GB/T1.1的規定。類似的條注可見于“GB/T18238.3-2003信息技術安全技術散列函數第3部分：專用散列函數”等標準。與國際相關標準的關系國外標準化工作簡介國際上相關的標準化工作包括2000年IETF提出的RFC2945：《SRP認證及密鑰交換系統》，2007年的RFC5054：《TLS認證的安全遠程密碼(SRP)協議的使用》以及IEEE提出的標準草案IEEEP1363.2：《基于口令的公鑰密碼技術》等。RFC2945定義了一個安全遠程口令鑒別協議SRP，適用于使用用戶提供的口令進行協商安全連接，并消除了口令重用時的傳統安全問題。該協議在鑒別過程中執行安全的密鑰交換，且不需要可信的密鑰服務器或者證書設施，用戶也無需存儲和管理長期密鑰。IEEE的P1363工作組致力與公鑰基礎設施相關標準的編制，其發布的1363-2000和1363a-2004定義了基于離散對數、整數分解、橢圓曲線的密鑰協商、公鑰加密、數字簽名、標識等基本公鑰密碼技術。1363.2是該標準組織的系列標準之一，規定了基于口令的公鑰密碼技術，作為1363-2000和1363a-2004的補充。1363.2并沒有強制規定任何基于口令的技術或者安全需求（如密鑰長度），而是提供應用可選的技術的引用、恰當的理論背景、安全和實現的擴展討論，使得方案提供者可以選擇適當的安全需求。與相關國際標準IEEEP1363系列標準的關系IEEEP1363工作組致力于公鑰技術密碼學的標準化工作。其主要起草的標準包括：“IEEEStandardSpecificationsforPublic-KeyCryptography”、“Lattice-BasedPublic-KeyCryptography”、“Password-BasedPublicKeyCryptography”和“Identity-BasedPublicKeyCryptographyusingPairings”。其中第一個標準已經頒布，即1363-2000和1363a-2004。而之后的三個標準項目目前仍在起草和投票階段，并未頒布。本標準主要基于“IEEEStandardSpecificationsforPublic-KeyCryptography”和“Password-BasedPublicKeyCryptography”兩項標準，對其內容進行了分析和采用形成了“遠程口令鑒別與密鑰建立規范”。本標準選擇了“Password-BasedPublicKeyCryptography”中的10個鑒別與密鑰建立方案，并引用了1363-2000和1363a-2004中的公鑰技術定義和一些原語。這幾個密鑰協商方案具有較高的安全性，并且具有密鑰控制的性質，適合國內環境應用。有關問題的說明本標準包含為了安全使用口令進行身份鑒別和安全信道建立而設計的采用公鑰技術的遠程口令鑒別和密鑰協商技術的安全需求、數學原理和實現機制。本標準包括基于口令的密鑰建立方案和密鑰獲取方案。本標準不強制規定基于口令技術或者安全參數的任何部分，而是為應用系統設計和開發者提供應用系統可能選擇的各種技術規范的一個參考，幫助方案提供者選擇合適的技術和安全參數。本標準參考的主要文獻及標準如下：[1]GB/T18238.3-2003信息技術安全技術散列函數第3部分：專用散列函數[2]ISO/IEC10118-32004InformationtechnologySecuritytechniquesHash-functionsPart3:Dedicatedhash-functions[3]IEEEstd1363-2000StandardSpecificationsforPublicKeyCryptography[4]IEEEstd1363a-2004StandardSpecificationsforPublicKeyCryptography-Amendment1:AdditionalTechniques[5]國家密碼管理局SM2橢圓曲線公鑰密碼算法第1部分：總則[6]J.Jonsson,B.Kaliski:Public-KeyCryptographyStandards(PKCS)#1:RSACryptographySpecificationsVersion2.1,RFC3447[7]V.Boyko,P.MacKenzieandS.Patel.:ProvablySecurePasswordAuthenticatedKeyExchangeUsingDiffie-Hellman,AdvancesinCryptology-EUROCRYPT2000,Preneel,B.,(Ed.),May14-18,2000.[8]D.Jablon.:StrongPassword-OnlyAuthenticatedKeyExchange,ComputerCommunicationRev