犐犆犛０３．０６０

犃１１

中華人民共和國國家標準

犌犅／犜２１０８０—２００７／犐犛犗１１１３１：１９９２

銀行業(yè)務和相關(guān)金融服務

基于對稱算法的簽名鑒別

犅犪狀犽犻狀犵犪狀犱狉犲犾犪狋犲犱犳犻狀犪狀犮犻犪犾狊犲狉狏犻犮犲狊—

犛犻犵狀狅狀犪狌狋犺犲狀狋犻犮犪狋犻狅狀犫犪狊犲犱狅狀狊狔犿犿犲狋狉犻犮犪犾犵狅狉犻狋犺犿

（ＩＳＯ１１１３１：１９９２，Ｂａｎｋｉｎｇａｎｄｒｅｌａｔｅｄｆｉｎａｎｃｉａｌｓｅｒｖｉｃｅｓ—

Ｓｉｇｎｏｎａｕｔｈｅｎｔｉｃａｔｉｏｎ，ＩＤＴ）

２００７０９０５發(fā)布２００７１２０１實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

書

犌犅／犜２１０８０—２００７／犐犛犗１１１３１：１９９２

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４簽名鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６互操作性的協(xié)議規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

附錄Ａ（資料性附錄）本標準的局限性!!!!!!!!!!!!!!!!!!!!!!!!!１３

Ａ．１本標準提供的保護范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

Ａ．２對用戶的警告!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

附錄Ｂ（資料性附錄）本標準技術(shù)指標的局限性!!!!!!!!!!!!!!!!!!!!!１４

書

犌犅／犜２１０８０—２００７／犐犛犗１１１３１：１９９２

前言

本標準等同采用ＩＳＯ１１１３１：１９９２《銀行業(yè)務和相關(guān)金融服務簽名鑒別》（英文版）。

為便于使用，本標準做了下列編輯性修改：

ａ）刪除ＩＳＯ前言；

ｂ）“本國際標準”一詞改為“本標準”；

ｃ）根據(jù)目前計算機行業(yè)實際發(fā)展情況，增加了資料性附錄Ｂ。

附錄Ａ和附錄Ｂ均為資料性附錄。

本標準由中國人民銀行提出。

本標準由全國金融標準化技術(shù)委員會歸口。

本標準負責起草單位：中國金融電子化公司。

本標準參加起草單位：中國人民銀行、中國銀行、中國建設銀行、中國光大銀行、中國銀聯(lián)股份有限

公司、北京啟明星辰公司。

本標準主要起草人：譚國安、楊、陸書春、李曙光、劉運、杜寧、劉志軍、張艷、張德棟、戴宏、張曉東、

馬云、李紅建、王威、王沁、孫衛(wèi)東、李春歡。

本標準為首次制定。

Ⅰ

犌犅／犜２１０８０—２００７／犐犛犗１１１３１：１９９２

引言

金融機構(gòu)正在逐漸通過使用電子通訊技術(shù)來為其客戶提供更及時無誤的服務，以滿足個人客戶的

需求。該技術(shù)不斷加強客戶直接訪問（或登錄）金融機構(gòu)里計算機應用程序的能力。具體例子包括資金

轉(zhuǎn)移和現(xiàn)金管理服務。

從歷史上看，金融業(yè)普遍采用用戶（用戶識別名）個人標識符與秘密口令結(jié)合使用作為提供用戶直

接訪問服務供應商系統(tǒng)的標準方法。

然而，該口令系統(tǒng)的有效性存在著局限性。鑒別用戶的口令能用多種方法破解，例如，它能被猜測

出，被竊聽或公開地顯示出來。假冒和重放也是兩種可能的威脅：

———假冒是通過顯示盜取的口令對實體進行模仿，假冒通常伴有其他攻擊，例如數(shù)據(jù)篡改；

———重放是對近期已記錄的有效交換的再次展現(xiàn)，用來產(chǎn)生非授權(quán)效果。

雙方共享通用密鑰的安全簽名鑒別程序需要實現(xiàn)大量的條件，包括以下內(nèi)容：

ａ）保持鑒別系統(tǒng)中結(jié)點的硬件和軟件的完整；

ｂ）保持請求者和授權(quán)人之間鑒別信息的完整，如：用戶標識符的分配（用戶名）、口令的選擇、口

令的變更、中斷訪問的方法、對失敗的簽名嘗試的審計；

ｃ）保持成功登錄后整個會話期內(nèi)鑒別的連續(xù)性；

ｄ）保持對失敗登錄嘗試的審計能力；

ｅ）確保抵抗破解和誤用的密鑰管理系統(tǒng)的完整性；

ｆ）確保已傳輸?shù)蔫b別信息的保密性；

ｇ）通過對鑒別信息的驗證提供檢測重放的方法。

Ⅱ

犌犅／犜２１０８０—２００７／犐犛犗１１１３１：１９９２

銀行業(yè)務和相關(guān)金融服務

基于對稱算法的簽名鑒別

１范圍

本標準實現(xiàn)了引言中的條件ｆ）和條件ｇ）。它規(guī)定了請求訪問實體和授權(quán)允許訪問實體之間的三

種簽名鑒別方式：

ａ）通過諸如口令的個人鑒別信息（ＰＡＩ）對用戶進行鑒別；

ｂ）通過用戶唯一密鑰對用戶進行鑒別；

ｃ）通過節(jié)點唯一密鑰對節(jié)點進行鑒別。

本標準使用對稱（密鑰）算法，在對稱算法中請求方和授權(quán)方使用相同密鑰。

第６章給出了一個滿足本標準要求的協(xié)議實例，可在實例中獲得互操作性。附錄Ａ描述了本標準

存在的一些局限性。附錄Ｂ描述了本標準技術(shù)指標的一些局限性。

２規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有

的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達