《信息安全技術(shù) 數(shù)字簽名安全保證獲取指南》

ICS

點擊此處添加中國標準文獻分類號

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字簽名應(yīng)用安全證明獲取建議

Informationsecuritytechnology-Publickeyinfrastructure

-RecommendationforObtainingSecurityAttestationsforDigitalSignature

Applications

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

（本稿完成日期：2016/6/30）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前言

GB/T××××—200×《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字簽名應(yīng)用安全證明獲取建議》在《NIST

800-89數(shù)字簽名應(yīng)用安全證明獲取建議》和《NISTSP800-102數(shù)字簽名適時性證明獲取建議》的基礎(chǔ)

上修改制定。其中第5章的5.1節(jié)、5.2節(jié)對應(yīng)于《NIST800-89數(shù)字簽名應(yīng)用安全證明獲取建議》的第6

章、第5章。第6章的的6.1節(jié)、6.2節(jié)分別對應(yīng)于《NISTSP800-102數(shù)字簽名適時性證明獲取建議》第4

章和第5章。本標準與參考的兩個標準在技術(shù)內(nèi)容上保持一致，而忽略了其與美國具體的簽名算法標準

相關(guān)的部分，強調(diào)了安全證明獲取的一般過程。

本標準與兩個參考標準相比，主要變化如下：

a)將兩個參考標準合并為一個標準，將數(shù)字簽名的適時性證明也作為一項重要的安全證明；

b)本標準根據(jù)“信息安全技術(shù)公鑰基礎(chǔ)設(shè)施”相關(guān)標準的術(shù)語定義，僅保留了新增術(shù)語的定義；

c)將參考標準中與密碼相關(guān)的術(shù)語和規(guī)定，改成與國內(nèi)密碼政策相符的規(guī)定；

d)本標準第二章規(guī)范性引用文件修改為對應(yīng)國內(nèi)標準。

本標準凡涉及密碼算法相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實施。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口。

請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本標準起草單位：中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心。

本標準主要起草人：王躍武、荊繼武、劉麗敏、呂娜、牛瑩姣、劉志娟、夏魯寧。

I

GB/TXXXXX—XXXX

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字簽名應(yīng)用安全證明獲取建議

1范圍

本標準規(guī)定了一套數(shù)字簽名應(yīng)用安全證據(jù)獲取的流程，用以規(guī)范數(shù)字簽名應(yīng)用安全證明獲取的過

程，提高簽名過程的安全性。

本標準適用于各種數(shù)字簽名應(yīng)用場景，在具體應(yīng)用中，一些安全證明的獲取流程要依賴于具體的簽

名算法標準，進行具體化。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的

修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

GB/T15851-1995帶恢復(fù)的數(shù)字簽名方案（idtISO/IEC9796:1991）；

GB/T17902.1-1999帶附錄的數(shù)字簽名第1部分：概述（idtISO/IEC14888-1:1998）；

GB/T17902.2-2005帶附錄的數(shù)字簽名第2部分：基于身份的機制（idtISO/IEC14888-2:1998）；

GB/T17902.3-2005帶附錄的數(shù)字簽名第3部分：基于證書的機制（idtISO/IEC14888-3:1998）；

GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范

GB/T25064–2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式

3術(shù)語和定義

下列術(shù)語和定義適用于本標準。

3.1

公鑰有效性證明AttestationofPublicKeyValidity

證明用于簽名驗證的公鑰有效性的證據(jù)。

3.2

私鑰擁有屬性安全證明AttestationofPossession

證明聲稱的簽名者確實實際擁有用于生成簽名的私鑰的證據(jù)。

3.3

證明消息AttestationMessage

用于獲取私鑰擁有屬性安全證明的，具有特定格式的消息。

1

GB/TXXXXX—XXXX

3.4

證明簽名AttestationSignature

作用于證明消息的數(shù)字簽名。

3.5

證明時間AttestationTime

私鑰擁有屬性安全證明獲取的時間。

3.6

證明水平AttestationLevel

私鑰擁有屬性安全證明的可信程度，分為高、中、低三個層次，依賴于證明獲取的手段。

3.7

請求驗證簽名SignatureinQuestion

請求私鑰擁有屬性安全證明的一個簽名。

3.8

簽名適時性證明AttestationofSignatureTimeliness

證明一個數(shù)字簽名確實是在一個時間點之前、之后或者是在一個時間段內(nèi)生成的證據(jù)。

3.9

可信時間戳機構(gòu)TrustedTimestampAuthority

被簽名者、驗證者以及其它簽名依賴方相信，可以提供精確時間的實體。

3.10

時間戳數(shù)據(jù)Timestamped_data

被可信時間戳機構(gòu)簽名，用以提供簽名適時性證明的一個數(shù)據(jù)結(jié)構(gòu)。

3.11

時間戳數(shù)據(jù)簽名Timestamp_signatureTTA

由可信時間戳機構(gòu)用自己的私鑰，作用于可信時間戳數(shù)據(jù)的簽名。

3.12

可信時間戳機構(gòu)信息TTA_supplied_info

在簽名適時性證明獲取中，由可信時間戳機構(gòu)向時間戳申請實體發(fā)送時間戳數(shù)據(jù)包時，提供的信息，

是時間戳數(shù)據(jù)的組成部分。

3.13

實體時間戳申請信息User_supplied_info

在簽名適時性證明獲取中，由一個實體在向可信時間戳機構(gòu)申請時間戳數(shù)據(jù)包時，提供的信息，是

時間戳數(shù)據(jù)的組成部分。

2

GB/TXXXXX—XXXX

3.14

時間戳Timestamp

在簽名適時性證明獲取中，由可信時間戳機構(gòu)發(fā)送的包含時間信息和其它信息的一個數(shù)據(jù)結(jié)構(gòu)，是

時間戳數(shù)據(jù)的組成部分。

3.15

時間戳數(shù)據(jù)包Timestamp_packet

在簽名適時性證明獲取中，由可信時間戳機構(gòu)發(fā)送給時間戳申請實體的，包含時間戳數(shù)據(jù)和時間戳

簽名的一個數(shù)據(jù)包。

4縮略語

下列縮略語適用于本標準：

RSARSA公鑰算法AlgorithmdevelopedbyRivest,Shamirand

Adelman

GCD最大公約數(shù)GreatestCommonDivisor

CA證書認證機構(gòu)CertificationAuthority

TST時間戳令牌TimestampToken

TTP可信第三方TrustedThirdParty

TTA可信時間戳機構(gòu)TrustedTimestampAuthority

TSP時間戳數(shù)據(jù)包TimestampPacket

5數(shù)字簽名應(yīng)用安全證明獲取

數(shù)字簽名是手寫簽名的電子化形式，參與電子簽名生成與驗證的實體依賴于整個過程的真實性。該

建議明確了獲取數(shù)字簽名生成和驗證環(huán)節(jié)的有效性證明方法。每一個數(shù)字簽名者都擁有一對公私鑰對，

并且該簽名者就是這對公私鑰對的擁有者。私鑰被用于數(shù)字簽名的產(chǎn)生，公鑰被用于數(shù)字簽名的驗證過

程。數(shù)字簽名生成、驗證過程的安全證明獲取包括：公鑰有效性的安全證明獲取；私鑰擁有屬性的安全

證明獲取；公私鑰對擁有者的標識證明。

5.1私鑰擁有屬性的安全證明獲取

私鑰的擁有者是指被授權(quán)使用公私鑰對中的私鑰來進行數(shù)字簽名生成的實體。生成的數(shù)字簽名可以

被對應(yīng)的公鑰進行驗證。被授權(quán)使用私鑰生成簽名并不意味著擁有者確實知道正確的私鑰。因此，在擁

有者進行數(shù)字簽名之前需要獲取私鑰擁有屬性的安全證明。

根據(jù)簽名公私鑰對生成方式的不同，私鑰被知道的情況可以分為如下幾種：

1、擁有者自己生成和維護公私鑰對，僅由擁有者知道私鑰；

2、擁有者在TTP的幫助下生成公私鑰對，但是私鑰只能由擁有者知道；

3、公私鑰對由TTP生成后提供給擁有者，擁有者和TTP同時知道私鑰；

4、公私鑰對采用方式1生成，生成后提供給充當(dāng)密鑰服務(wù)器的TTP，這樣擁有者和TTP同時知

道私鑰；

5、公私鑰對采用方式2生成，生成后提供給充當(dāng)密鑰服務(wù)器的TTP，這樣擁有者和充當(dāng)密鑰服務(wù)

器的TTP同時知道私鑰；

3

GB/TXXXXX—XXXX

第4、第5的情形不同于僅被提供給公鑰的TTP，如CA，此時的TTP知道私鑰。

后三種情況下，TTA知道私鑰的情況必須建立在他們不會用私鑰生成數(shù)字簽名的信任之上。公私鑰

對擁有者、簽名驗證者以及其它簽名依賴方要能夠共享這個信任。情況3、4、5相對于情況1、2，其私

鑰擁有屬性的安全證明要稍低一些。

需要私鑰擁有屬性安全證明的情形如下：

1、公私鑰對擁有者在簽名生成之前或者同時要獲得私鑰擁有屬性安全證明。

2、驗證者接受數(shù)字簽名有效之前或者同時要獲得私鑰擁有屬性安全證明，在獲得私鑰擁有屬性安

全證明之前，要獲得生成簽名的公私鑰對擁有者的身份安全證明。

3、TTP要向其它各方提供公私鑰對擁有者的私鑰擁有屬性安全證明，在獲得私鑰擁有屬性安全證

明之前，要獲得擁有者的身份安全證明。例如，CA在簽發(fā)證書之前，需要獲得擁有者的私鑰擁

有屬性安全證明和身份安全證明。

4、對于提供公私鑰對給擁有者的TTP，TTP要首先獲得簽名者身份的安全證明，然后獲取擁有者確

實擁有正確的私鑰的證明。

獲取或提供私鑰擁有屬性安全證明一般需要采用一系列確定的操作。同時，在進行了一系列的操作

后，獲取的私鑰擁有屬性安全證明是有時效性的。定期地進行私鑰擁有屬性安全證明的獲取是一個合適

的選擇。

在進行私鑰擁有屬性安全證明獲取之前，需要完成公鑰有效性的獲取。

5.1.1證明獲取時間點確定的私鑰擁有屬性安全證明獲取時效模型

私鑰擁有屬性安全證明的獲取要在一個特定的時間點完成，該時間點被稱為證明時刻。隨著時間的

流逝，可能會發(fā)生一些事件，對私鑰擁有屬性安全證明產(chǎn)生負面影響。隨著時間流逝的增加，發(fā)生這些

事件的概率也將增加。

隨著時間流逝的增加，保障水平一般會因為上述事件的發(fā)生而降低。另一方面，在獲取證明的一段

時間內(nèi)，即證明時刻之后的一段時間內(nèi)，獲取的私鑰擁有屬性安全證明是可信的，推斷是合理的。簽名

依賴方所在的組織需要對這個合理性做出判斷。根據(jù)距離證明時刻的遠近，將私鑰擁有屬性安全證明的

證明水平分為高、中、低三個等級，簽名依賴方所在的組織可以根據(jù)需要選擇實現(xiàn)自己的證明水平。

圖1描述了私鑰擁有屬性安全證明的證明水平隨時間變化的模型。在圖1中，tA為私鑰擁有屬性安全

證明生成的時刻。a，b，c的值由簽名依賴方所在的組織根據(jù)自己的安全需求選擇。

圖1私鑰擁有屬性安全證明的證明水平隨時間變化的通用模型

4

GB/TXXXXX—XXXX

a和b是tA前后的兩個時間段，在這個模型中，tA-a和tA+b這兩個時間點內(nèi)，獲得的私鑰擁有屬

性安全證明具有高的證明水平。這段時間擁有高的保障水平，簽名依賴方所在的組織根據(jù)安全

策略，選擇不同的a、b值控制對證明的信任程度。

c是tA+b之后的一個時間段，在這段時間內(nèi)，私鑰擁有屬性安全證明的證明水平逐漸從高降到

低。

在tA+b+c之后的時間里，私鑰擁有屬性安全證明的證明水平一直為低。

在私鑰擁有屬性安全證明的證明水平降為低之后，如果仍需要高水平的證明，要重新進行私鑰擁有

屬性安全證明的證明獲取。

5.1.2證明獲取時間點不確定的私鑰擁有屬性安全證明獲取時效模型

理想情況下，私鑰擁有屬性安全證明獲取的時刻應(yīng)該是一個精確的值。然而，實際應(yīng)用中，準確地

確定安全證明的獲取時間存在一定的困難，通常會用一個估計值代替，這個估計值是用一個包含證明生

成時刻的一個時間段表示。結(jié)合5.1.1中的證明時效性一般模型，可以得到基于證明時刻估值的私鑰擁

有屬性安全證明時效模型，如圖2所示。與圖1不同的是，初始證明級別可以不是高。

圖2基于證明時刻估值的私鑰擁有屬性安全證明時效模型

a，b，c的定義同5.1.1。

tG表示證明簽名的生成時刻。

t1表示被依賴方信任超前于tG的證明生成時刻。

t2表示被依賴方信任滯后于tG的證明生成時刻。

d表示t1和t2之間最大的差值。

tA表示指定的證明時刻，并且必須滿足t1<=tA<=t2，本標準中，為了方便起見，一般指定tA=t1，

或者tA=t2。

a，b，c和d，由簽名依賴方或者其所在的組織，在考慮如下因素的基礎(chǔ)上確定：

1、a，b，c的值要根據(jù)組織策略對數(shù)字簽名的安全證明要求確定，同時還要考慮所采用的私鑰擁

有屬性安全證明獲取過程的難易程度。

2、d的值應(yīng)該小于a和b中最小值得一半，即d<1/2min（a,b），并且d的確定還要考慮證明獲

取時刻tG的誤差估計。此外，d的確定還要將保障在網(wǎng)絡(luò)上安全傳輸?shù)臅r間考慮在內(nèi)。

5

GB/TXXXXX—XXXX

根據(jù)估計的私鑰擁有屬性安全證明獲取時刻tA，依賴方可以確定不同時間的證明水平的級別。在tA-

（a-d）和tA+（b-d）時刻內(nèi)，獲取的安全證明具有高或者中的證明水平，這取決于安全證明的獲取過

程。tA+（b-d）之后，證明水平逐步降低，在tA+（b-d）+c時刻，安全證明水平降到低。之后，安全證

明水平將一直為低。如果策略要求需要高的安全證明水平，則需要重新獲得安全證明。

5.1.3私鑰擁有屬性安全證明獲取過程

私鑰擁有屬性安全證明可以用如下的一種或多種方法得到：

1、由聲稱的私鑰擁有者簽發(fā)一個新的數(shù)字簽名，然后用其對應(yīng)的公鑰進行驗證。

2、重新生成一次公私鑰對，然后把它與擁有者當(dāng)前擁有的公私鑰對進行充分地比對。

3、用公私鑰對中的一個密鑰重新生成另一個密鑰，然后將新生成的密鑰與擁有者擁有的對應(yīng)密鑰

進行充分地比對。

其中，重新生成密鑰的私鑰擁有屬性安全證明獲取方法，只適用于公私鑰對擁有者或者被擁有者信

任可以知道私鑰信息的TTP。此類方法可以用來驗證TTP生成的密鑰對的正確性。

公私鑰對擁有者獲取私鑰擁有屬性安全證明可以獨立完成，或者與TTP合作完成。TTP獲取私鑰擁有

屬性安全證明需要與公私鑰對擁有者合作完成。簽名依賴方要么從TTP獲取私鑰擁有屬性安全證明，要

么與擁有者合作獲取證明。

私鑰擁有屬性安全證明獲取的時刻要盡可能精確地被記錄下來。這個證明時刻可以為其它依賴方判

斷該證明的證明水平提供依據(jù)。確定證明獲取的精確時刻可以有多個時間源。這些時間源的可信程度存

在差異。以下是一些可信程度依次降低的時間源：

1、由獲取私鑰擁有屬性安全證明的實體、實體所在的組織以及其它依賴各方所信任的TTP提供時

間戳作為時間源。

2、由獲取私鑰擁有屬性安全證明的實體認可其精度的一個時鐘作為時間源。

3、由精度不可知的時鐘作為時間源。

無論采用何種時間源，都需要讓證明依賴方知道，以判斷證明獲取時間的可信性。

利用數(shù)字簽名獲取私鑰擁有屬性安全證明

可以用驗證特定格式消息的數(shù)字簽名的方式來獲取私鑰擁有屬性安全證明。該方法適用于公私鑰對

擁有者、TTP或者其它依賴方獲得私鑰擁有屬性安全證明。

.1用于獲取私鑰擁有屬性安全證明的消息

當(dāng)采用數(shù)字簽名的方式獲得私鑰擁有屬性性安全證明時，獲取證明的實體將會被分配給一個擁有屬

性安全證明消息，簡稱為證明消息。然后由私鑰擁有者對該消息進行簽名，該簽名稱為證明簽名。

證明消息需要包括下列信息：

1、簽名者身份標識。

2、潛在的驗證者身份標識。

3、時間戳令牌（TST），該TST由所有依賴方都信任的可信時間戳機構(gòu)（TTA）生成。TST可以由

簽名者從TTA獲取，也可以由潛在的驗證者從TTA獲取，之后傳給簽名者。所有依賴方都必須

認可TTA的簽名安全強度。TTA采用的簽名實現(xiàn)要符合或者超過對應(yīng)的標準要求。

和/或

一個驗證者提供的nonce值。如果選擇了這個nonce值，則nonce值的隨機性要等于或者超過要

獲取證明的私鑰的隨機性。如果證明消息不包含TST，而依賴方又要求在驗證證明簽名時，記

錄證明時間，則nonce值需要包含一個由驗證者提供的時間戳，標示該nonce值提供給證明消息

的時間。

6

GB/TXXXXX—XXXX

對于證明消息來說，以下信息不是必須的。但是以下信息的包括與否，要嚴格根據(jù)如下的描述決定：

4、獲取私鑰擁有屬性安全證明的私鑰對應(yīng)的公鑰。

如果生成證明簽名的簽名者能夠在獲取證明消息之前，成功展示公鑰，該公鑰信息可以從證明

消息中去除。

如果證明消息中包含TST，公鑰展示應(yīng)在TST標示的時刻之前。如果沒有TST，公鑰展示應(yīng)在

nonce值中包含的時刻之前。如果沒有TST，并且nonce值中不包含時間，必須出示能夠被各方

信任的證據(jù)證明公鑰展示在證明簽名生成之前。

公鑰可以以一個包含時間戳的證書展示。CA通過簽發(fā)一個包含證明消息簽名者的身份標識和對

應(yīng)公鑰信息的證書，來證實簽名者擁有公鑰。證書中包含時間戳信息，以證明公鑰展示的時刻

符合要求。CA的安全機制應(yīng)符合或超過對應(yīng)標準的要求。

公鑰還可以以簽名者此前簽發(fā)的一個簽名的方式展示。該簽名簽發(fā)所有的私鑰必須和要獲取證

明的私鑰一致，即可以用相同的公鑰驗證。該簽名的簽發(fā)時間要早于證明消息發(fā)送給簽名者的

時間。

公鑰展示還可以在證明簽名驗證者向簽名者提供nonce值之前，向驗證者公開公鑰的方式實現(xiàn)。

如下附加信息可以包含在證明簽名簽發(fā)之后的證明消息里。

一個明確的標識，表示該消息是用來獲取私鑰擁有屬性安全證明的。

證明簽名簽發(fā)者提供的nonce值，nonce值包含一個隨機部分，其隨機性不低于或者要高于獲取

證明的私鑰。

或其它的由證明簽名簽發(fā)者提供給驗證者的數(shù)據(jù)。

任何只要包含了上述所需信息的消息，都可以用來作為證明消息。證明消息可以專門用于保障消息，

也可用于其它用途。證明消息被要獲取證明的私鑰進行簽名生成證明簽名。證明簽名需要在TST，nonce

值或者以其它形式提供的時刻立即生成。

.2指定證明時間

在證明簽名成功驗證后，需要給證明時間指定一個值。證明時間的指定受證明消息的格式影響，同

時也受包括證明簽名生成時間tG的t1和t2的選擇的影響。

如5.1.2，t1是超前或者等于證明簽名生成時刻的一個時間點。t1的幾種可能賦值如下：

如果證明消息中包括了來自依賴方信任的TTA的時間戳，則時間戳中的時間可以作為t1賦值的

候選。

如果證明消息中包含了驗證者提供時間，例如，nonce值中包含的時間，則該時間可以作為t1賦

值的候選。

如果證明消息中包含一個驗證者提供的nonce值，并且記錄了nonce值第一次提供給證明簽名簽

發(fā)者的時間，則該時間可以作為t1賦值的候選。

依賴方從上述的t1賦值候選中選擇他們認為最可信的時間源為t1賦值。在可信程度相等的情況下，

應(yīng)該優(yōu)先選擇最晚的時間為t1賦值。

如5.1.2，t2是滯后或者等于證明簽名生成時刻的一個時間點。t2的幾種可能賦值如下：

如果證明簽名被包含在一個所有依賴方都信任的TTA簽發(fā)的一個TST中，則包含在TST中的時間

可以作為t2賦值的候選。

如果驗證者記錄了證明簽名的接收時間，則該記錄的時間可以作為t2賦值的候選。

如果驗證者記錄了證明簽名被驗證的時間，則該記錄的時間可以作為t2賦值的候選。

依賴方從上述的t2賦值候選中選擇他們認為最可信的時間源為t2賦值。在可信程度相等的情況下，

應(yīng)該優(yōu)先選擇最早的時間為t2賦值。

7

GB/TXXXXX—XXXX

如果證明簽名已被成功驗證通過，并且依賴方已經(jīng)確定了證明時間的誤差精度d，則可以按照如下

的方法估計證明時間tA：

a)如果t2–t1≤d，并且t1可信度不小于t2，則應(yīng)選擇t1為證明時間tA。

b)如果t2–t1≤d，并且t1可信度小于t2，則應(yīng)選擇t2為證明時間tA。

c)如果t2–t1>d，則私鑰擁有屬性安全證明沒有獲得，也就不用賦值給證明時間tA。

如果證明簽名不能被驗證通過，則私鑰擁有屬性安全證明沒有獲得，也就不用賦值給證明時間tA。

.3指定初始證明水平

證明簽名被驗證通過和證明時間指定完成后，需要指定證明的初始水平。證明初始水平指定按如下

方法完成：

a)如果證明時間tA是從依賴方信任的TTA提供的TST中獲得，那么最初的證明水平被置于高。

b)如果證明時間tA不是從依賴方信任的TTA提供的TST中獲得，而是從證明簽名驗證者提供的一個

精度被依賴方信任的時間源獲得，那么最初的證明水平被置于中。

c)如果證明時間tA不是從依賴方信任的TTA提供的TST中獲得，而是從證明簽名驗證者提供的一個

時間源獲得，并且該時間源的精度對依賴方不可知，那么最初的證明水平被置于低。

通過密鑰再生獲取私鑰擁有屬性安全證明

密鑰再生可以由公私鑰對擁有者或者被提供公私鑰對的TTP完成。密鑰再生要在與原始密鑰對生成

環(huán)境不同的環(huán)境下，用不同于原始密鑰對生成方法的方法生成一個或者一對密鑰。在后續(xù)再次獲取私鑰

擁有屬性安全證明時，密鑰再生可以采用與第一次密鑰再生相同的環(huán)境和流程完成。私鑰擁有屬性安全

證明獲取只有在再生的密鑰與擁有者擁有的密鑰相同的情況下才能獲取。

密鑰再生的過程與具體的簽名算法相關(guān)，可以參考對應(yīng)的算法標準。

通過密鑰再生獲取私鑰擁有屬性安全證明，同樣需要指定證明時間和初始證明水平，具體過程參見

.2和.3。

普通簽名的私鑰擁有屬性安全證明確定

在正常操作中，需要判斷一個普通消息簽名所對應(yīng)的私鑰擁有屬性安全證明水平。普通消息一般不

會充分滿足5.1.3中的證明消息的各項要求?？梢杂煤灠l(fā)該普通消息簽名的私鑰的私鑰擁有屬性安全證

明來確定該普通消息簽名的安全證明水平。

普通消息簽名安全證明獲取可以在其對應(yīng)私鑰的私鑰擁有屬性安全證明的證明時間之前，同時或者

之后生成。

普通消息簽名的生成時間用ts表示。ts可能有一個確定的值，或者是一個取值范圍，或者是完全不

確定的一個值。如果ts有一個具有充分精度的值，并且對應(yīng)私鑰的私鑰擁有屬性安全證明已經(jīng)獲取，則

可以根據(jù)5.2.2中的時效模型，按照如下的方法確定該普通消息簽名的安全證明水平：

如果（tA-（a–d））≤ts≤（tA+（b–d）），那么該普通消息簽名的安全證明水平等于

獲取的私鑰擁有屬性安全證明的初始證明水平；

如果（tA+（b–d））≤ts≤（tA+（b–d）+c），那么該普通消息簽名的安全證明水平將從

最初狀態(tài)逐漸降低直至低水平；

ts>（tA+（b–d）+c），那么該普通消息簽名的安全證明水平為低。

如果ts沒有一個確定的值，則該普通消息簽名的安全證明水平被確定為低。

5.1.4具體的私鑰擁有屬性安全證明獲取流程

公私鑰對擁有者獲取私鑰擁有屬性安全證明

8

GB/TXXXXX—XXXX

公私鑰對擁有者可以用如下一種或多種方法獲取私鑰擁有屬性安全證明：

1、公私鑰對擁有者采用證明簽名獲取私鑰擁有屬性安全證明：

公私鑰對擁有者需要完成以下內(nèi)容：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)確定一個可信的t1值。

c)生成一個新的用于獲取私鑰擁有屬性安全證明的證明消息。

d)用要獲取證明的私鑰對證明消息簽名，生成證明簽名。

e)用對應(yīng)的公鑰驗證證明簽名。

f)如果驗證成功：

為t2確定一個可信的值；

如果t1≤t2≤t1+d，按照本標準前面的規(guī)定確定證明時間和初始證明水平。

2、公私鑰對擁有者采用證明簽名從TTP獲取私鑰擁有屬性安全證明：

a)公私鑰對擁有者要確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適

的a，b，c值的基礎(chǔ)上，確定d值。

如果TTP負責(zé)證明時間的分配，則d值要讓TTP知道。

b)公私鑰對擁有者和/或TTP要確定一個被公私鑰對擁有者信任的t1值。

c)公私鑰對擁有者生成一個新的用于獲取私鑰擁有屬性安全證明的證明消息。

d)公私鑰對擁有者用要獲取證明的私鑰對證明消息簽名，生成證明簽名。

e)公私鑰對擁有者將證明消息、證明簽名和其它必要的數(shù)據(jù)發(fā)送給TTP。

f)TTP用對應(yīng)的公鑰驗證保障簽名。

g)如果驗證通過：

需要通知公私鑰對擁有者，證明簽名驗證成功；

公私鑰對擁有者和/或TTP要為t2確定一個擁有者信任的值；

如果t1≤t2≤t1+d，公私鑰對擁有者或者是TTP開始指定證明時間和初始證明水

平；

注：指定證明時間的實體必須要知道d值以及t1和t2；指定初始證明水平的實體必

須知道確定t1和t2值的方法；

公私鑰對擁有者要記錄證明時間和初始證明水平。

3、公私鑰對擁有者通過密鑰再生獲取私鑰擁有屬性安全證明：

公私鑰對擁有者需要完成以下內(nèi)容：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)確定一個可信的t1值。

c)選擇下面的一個操作：

重新生成要獲取證明的私鑰對應(yīng)的密鑰對；

重新生成要獲取證明的私鑰對應(yīng)的密鑰對中的一個密鑰。

d)對比重新生成的密鑰對（密鑰）值和目前擁有的密鑰值。

e)如果匹配成功：

為t2確定一個可信的值；

如果t1≤t2≤t1+d，指定和記錄證明時間，并且指定初始證明水平。

4、公私鑰對擁有者通過密鑰再生從TTP獲取私鑰擁有屬性安全證明：

9

GB/TXXXXX—XXXX

a)公私鑰對擁有者要確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適

的a，b，c值的基礎(chǔ)上，確定d值。

如果TTP負責(zé)證明時間值的指定，則d值要讓TTP知道。

b)公私鑰對擁有者和/或TTP要確定一個t1值，該值公私鑰對擁有者信任。

c)公私鑰對擁有者要提供其持有的密鑰以及任何其他必要的數(shù)據(jù)給TTP實體。

d)TTP實體：

重新生成要獲取證明的私鑰對應(yīng)的密鑰對；

或者重新生成要提供保護的私鑰對應(yīng)的密鑰對中的一個密鑰。

e)TTP對比重新生成的密鑰對（密鑰）值和擁有者目前擁有的密鑰值。

f)如果匹配成功：

應(yīng)通知公私鑰對擁有者比較成功；

公私鑰對擁有者和/或TTP要確定一個被公私鑰對擁有者信任的t2值；

如果t1≤t2≤t1+d，公私鑰對擁有者或者是TTP開始指定證明時間和初始證明水

平，

指定證明時間的實體必須要知道d值以及t1和t2；指定初始證明水平的實體必須知

道確定t1和t2值的方法；

公私鑰對擁有者要記錄證明時間和初始證明水平。

TTP從公私鑰對擁有者處獲取私鑰擁有屬性安全證明

TTP被要求提供私鑰擁有屬性安全證明給其它簽名依賴方時，必須實施一個明確的私鑰擁有屬性安

全證明獲取過程。該過程通過驗證證明簽名的方式或者密鑰再生的方式從公私鑰對擁有者處獲得。在再

生密鑰的情況下，TTP必須承諾不使用擁有者的密鑰對知識生成數(shù)字簽名。這種信任必須由公私鑰對擁

有者，潛在簽名驗證者，以及其它各依賴方共享。其中，使用證明簽名的方法是首選方法。

TTP使用如下一種或多種方法從公私鑰對擁有者處獲取私鑰擁有屬性安全證明：

1、TTP通過驗證證明簽名的方法從公私鑰對擁有者處獲取私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基礎(chǔ)

上，確定d值。

b)公私鑰對擁有者生成一個新的私鑰擁有屬性安全證明的證明消息。

c)公私鑰對擁有者用要獲取證明的私鑰對證明消息簽名，生成證明簽名。

d)公私鑰對擁有者提供證明消息、證明簽名以及其他必要的數(shù)據(jù)給TTP。

e)TTP為t1確定一個可信的值。

f)TTP用要獲取證明的私鑰對應(yīng)的公鑰驗證證明簽名。

g)如果驗證成功：

TTP為t2確定一個可信的值；

如果t1≤t2≤t1+d，TTP開始指定證明時間和初始證明水平；

TTP記錄證明時間和初始證明水平，并且應(yīng)該將這些值也提供給公私鑰對擁有者。

2、TTP通過密鑰（密鑰對）再生的方法從公私鑰對擁有者處獲取私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)公私鑰對擁有者提供要獲取證明的密鑰信息，以及任何其他必要的數(shù)據(jù)給TTP。

c)TTP為t1確定一個可信的值。

d)TTP需要：

再生公私鑰對擁有者的整個密鑰對；

10

GB/TXXXXX—XXXX

或者再生公私鑰對擁有者的整個密鑰對中的一個密鑰。

e)TTP將生成的密鑰與公私鑰對擁有者原有的密鑰進行對比。

f)如果e）中的比對結(jié)果相匹配：

TTP要為t2確定一個可信的值；

如果t1≤t2≤t1+d，TTP開始指定證明時間和初始證明水平，

TTP必須知道t1和t2值以及t1和t2值的確定方法；

TTP要記錄證明時間、初始證明水平和d值，這些值也應(yīng)提供給公私鑰對擁有者。

在響應(yīng)其它依賴方的證明請求時，TTP要將私鑰擁有屬性安全證明，連同證明時間和初始證明水平

一同提供給發(fā)起請求的依賴方。此外，TTP還可以向發(fā)起請求的依賴方提供在一個特定時刻的私鑰擁有

屬性安全證明的估計值，證明水平估計的方法參見5.1.2中的證明時效模型。

由TTP選擇的a，b，c和d的值，可能與其它請求私鑰擁有屬性安全證明的依賴方的信任標準不同。

如果是此種情況，則TTP應(yīng)當(dāng)（至少）準備t2–t1值的上限（如，d）給潛在的依賴方，以及在確定上述

值時對采用的時間源進行說明，從而使這些依賴方能夠判定TTP提供的證明時間值是否有足夠的精度（可

信度）以滿足他們的需要。

驗證者獲取私鑰擁有屬性安全證明

驗證者在接受數(shù)字簽名驗證為有效之前，要獲得簽名者在生成簽名時，其簽名的私鑰的私鑰擁有屬

性安全證明。證明時間和初始證明水平需要驗證者與簽名者或者TTP相互合作獲得。一旦通過標準流程

獲得證明后，以后任意時刻的簽名的證明水平，可以根據(jù)5.1.2中的證明時效模型估計得到。

驗證者可以通過使用以下一種或多種方法獲取私鑰擁有屬性安全證明：

1、通過與公私鑰對擁有者合作，驗證證明簽名，獲得私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)公私鑰對擁有者要提供新的證明消息、證明簽名和其它必要的數(shù)據(jù)給驗證者。

c)驗證者要為t1確定一個可信的值。

d)驗證者用要獲取證明的私鑰對應(yīng)的公鑰驗證證明簽名。

e)如果證明簽名驗證通過：

驗證者要為t2確定一個可信的值；

如果t1≤t2≤t1+d，驗證者開始指定證明時間和初始證明水平；

驗證者記錄證明時間和初始證明水平。

2、驗證者通過與TTP合作獲得私鑰擁有屬性安全證明：

a)確定適當(dāng)?shù)膁值，例如，可以按照5.1.2中的時效模型，在確定完合適的a，b，c值的基

礎(chǔ)上，確定d值。

b)驗證者向TTP索要私鑰擁有屬性安全證明。

如果TTP成功獲得了私鑰擁有屬性安全證明：

c)TTP要將獲取的證明時間、初始證明水平以及采用的證明獲取方法提供給驗證者。

d)如果驗證者需要，TTP還應(yīng)該提供t2-t1的上限值，t1、t2時間的獲得方法和/或在驗證者驗

證的簽名簽發(fā)時刻，TTP對證明的評估值。

e)驗證者：

如果TTP提供的t2-t1的上限值>d，則拒絕TTP提供的私鑰擁有屬性安全證明，否

則，

記錄TTP提供的證明時間值和初始證明水平，和/或，

TTP在請求時刻對該證明的評估，和/或，

11

GB/TXXXXX—XXXX

t1，t2值獲得方法的描述，以幫助驗證者判斷是否對證明水平進行調(diào)整。

5.2公鑰有效性的安全證明獲取

公私鑰對擁有者和簽名驗證者在生成和驗證數(shù)字簽名時，獲得用于簽名生成和驗證的公私鑰對中的

公鑰的有效性證明，可以提高簽名過程的安全性。根據(jù)用于簽名的公私鑰對的生成方式不同，可以有不

同的公鑰有效性安全證明獲取方法。公私鑰對的生成方式包括：由公私鑰對擁有者自己生成，由公私鑰

對擁有者和TTP合作生成，或者完全由TTP生成。

5.2.1擁有者的公鑰有效性安全證明獲取

公私鑰對擁有者可以通過以下方法獲得公鑰有效性的安全證明。其中，方法1或者2與方法3或者4

的結(jié)合可以獲得更為有效的安全證明。

1、公私鑰對由擁有者自己生成：擁有者采用認定的方法生成公私鑰對。

2、公私鑰對由擁有者與TTP合作生成：擁有者在TTP的幫助下，采用認定的方法生成公私鑰對。

3、擁有者采用明確的過程驗證公鑰有效性：擁有者通過執(zhí)行一個明確的驗證過程獲得公鑰有效性

的安全證明，具體的驗證過程見5.1.3。

4、TTP采用明確的過程驗證公鑰有效性：擁有者要收到證明，證明TTP確實通過一個明確的驗證過

程獲得公鑰有效性的安全證明，具體的驗證過程見5.1.3。TTP的驗證結(jié)果要提供給擁有者。

5、公私鑰對由TTP生成：TTP生成公私鑰對，并將其提供給擁有者。如果采用了該方式，應(yīng)該采用

一個公鑰有效性的驗證過程，驗證過程可以是擁有者按照上述3的方法進行，也可以是TTP按照

上述4的方法進行。

擁有者或者其代理需要知道，具體采用了上述哪種方法來獲得公鑰有效性的安全證明，以確定獲得

的公鑰有效性安全證明是否滿足擁有者的要求。

5.2.2驗證者的公鑰有效性安全證明獲取

簽名的驗證者可以通過采用如下三種方法，獲取簽發(fā)者在簽名時所使用的公私鑰對中的公鑰有效性

的安全證明。其中，前兩種方法應(yīng)該優(yōu)先采用。

1、驗證者采用明確的過程驗證公鑰有效性：驗證者通過執(zhí)行一個明確的驗證過程獲得公鑰有效性

的安全證明，具體的驗證過程見5.1.3。

2、TTP采用明確的過程驗證公鑰有效性：驗證者要收到證明，證明TTP確實通過一個明確的驗證過

程獲得公鑰有效性的安全證明，具體的驗證過程見5.1.3，TTP的驗證結(jié)果要提供給驗證者。

3、TTP重新生成公鑰：驗證者要收到證明，證明TTP確實采用了一種可信的途徑生成或者重新生成

公鑰，并且驗證了公私鑰對的一致性。

簽名驗證者或其可信代理在進行簽名驗證之前，要知道采用了何種方法來獲取公鑰的有效性證明，

以確定這樣的證明是否能夠滿足驗證者的要求。

5.2.3公鑰有效性驗證過程

公鑰的有效性驗證是通過一個明確的過程，檢查公鑰的數(shù)學(xué)特性是否符合要求。公鑰的有效性驗證

過程不需要知道對應(yīng)的私鑰信息，因此，驗證可以由任何人在任何地點進行。具體驗證過程與算法標準

關(guān)系密切，應(yīng)參考相應(yīng)的簽名算法標準實施。

6數(shù)字簽名的適時性證明獲取

時間信息是數(shù)字簽名中的一個重點關(guān)注因素。適時性是判斷一個數(shù)字簽名是否有效的重要依據(jù)之

12

GB/TXXXXX—XXXX

一。只有提供了足夠證明水平的數(shù)字簽名適時性證明，才能正確判斷一個簽名是否有效。合理地利用可

信時間戳機構(gòu)TTA提供的時間戳和/或簽名驗證者提供的時間相關(guān)數(shù)據(jù)，可以獲取不同證明級別的數(shù)字

簽名適時性證明。TTA的建立和管理不在本標準的討論范圍內(nèi)。

6.1用從TTA獲取時間戳的方式獲取簽名適時性證明

從被簽名者和驗證者信任的TTA獲取時間戳是獲取簽名適時性證明的一個重要方式。本節(jié)討論的內(nèi)

容旨在幫助讀者準確確定從不同的時間戳方案可以得到什么樣的簽名適時性證明水平。

6.1.1符號定義

TTA是一個產(chǎn)生時間戳數(shù)據(jù)包（TSP）的可信實體。TSP由TTA發(fā)送，包括如下信息：

數(shù)字簽名（timestamp_signatureTTA）：由TTA的私鑰生成的數(shù)字簽名。

時間戳數(shù)據(jù)（timestamped_data）：生成數(shù)字簽名的依賴數(shù)據(jù)，包括用來精確、明確地表示

數(shù)字簽名timestamp_signatureTTA的生成時間的時間戳。

以下是關(guān)于TSP的具體定義：

其中，逗號用來分割不同的數(shù)據(jù)，而不是數(shù)據(jù)格式的一部分。

1、TSP=timestamped_data，timestamp_signatureTTA

其中，TSP由時間戳數(shù)據(jù)及其數(shù)字簽名構(gòu)成。數(shù)字簽名是由TTA的私鑰對時間戳數(shù)據(jù)的簽名。

2、timestamp_signatureTTA=SIGTTA(timestamped_data)

其中,數(shù)字簽名算法SIGTTA是一個使用在時間戳數(shù)據(jù)上的數(shù)字簽名操作，簽名私鑰為TTA的

數(shù)字簽名私鑰，該私鑰只被用于對時間戳數(shù)據(jù)生成數(shù)字簽名。

3、timestamped_data=user_supplied_info,TTA_supplied_info,timestamp

其中：

a)用戶提供信息user_supplied_info是一個實體在向TTA請求時間戳?xí)r，提供的信息；

user_supplied_info在實際應(yīng)用中可以為空。如果提供了此信息，該信息將被TTA在生成時間

戳簽名時使用，而不需要在傳遞時間戳數(shù)據(jù)包時返回給請求者。若使用了該信息，必須保

證在一個實體要驗證timestamp_signatureTTA時，該信息是可見的。

b)TTA提供信息TTA_supplied_info是TTA在生成timestamp_signatureTTA時采用的額外信息。

TTA_supplied_info在實際應(yīng)用中可能為空。只要該部分信息能夠在驗證

timestamp_signatureTTA簽名時，被重新生成，其中的任何一部分都可以從時間戳數(shù)據(jù)包中

刪除。

c)時間戳timestamp包含時間和（可能）的其他信息。

因此，由TTA生成的通用的TSP格式如下：

TSP=user_supplied_info,TTA_supplied_info,timestamp,SIGTTA(user_supplied_info,TTA_supplied_

info,timestamp)

其中，user_supplied_info和TTA_supplied_info可能為空。

6.1.2由TTA提供的用于獲取簽名適時性的時間戳

TTA可能廣播一個TSP或針對提出請求的實體回應(yīng)一個TSP。提出請求的實體和其他需要驗證TTA

數(shù)字簽名的任何一方（例如，依賴方）必須知道TTA的數(shù)字簽名的安全強度。TTA數(shù)字簽名的安全強度

要能夠滿足提出請求的實體或依賴方的需求。

當(dāng)TTA廣播一個TSP時，TSP中的用戶提供信息為空，數(shù)字簽名timestamp_signatureTTA在TTA提供信息

（可能為空）和時間戳的基礎(chǔ)上產(chǎn)生，TSP隨后被組裝和廣播。在TTA提供信息中，被所有TSP的既定接

收者共知的部分可以從傳輸?shù)腡SP中刪除。

13

GB/TXXXXX—XXXX

當(dāng)一個實體請求一個時間戳?xí)r，請求實體提供用戶提供信息（可能為空）給TTA。數(shù)字簽名

timestamp_signatureTTA在用戶提供信息、TTA提供信息中（可能為空）和時間戳的基礎(chǔ)上生成。在生成簽

名的基礎(chǔ)上，將數(shù)字簽名timestamp_signatureTTA和時間戳數(shù)據(jù)組裝成一個TSP，然后發(fā)送給請求的實體。

被所有既定接收者共知的部分TTA提供信息，還有以其他方式告知驗證實體的用戶提供信息，可以從返

回的TSP的時間戳數(shù)據(jù)域中刪除。

以下將用圖示和文字說明的方式，描述通過從TTA獲取時間戳的方式獲取簽名適時性證明的具體流

程。

6.1.3簽名者在簽名消息中用從TTA申請的時間戳提供簽名消息的適時性證明

對于一個實體A，有四種不同的方案使其從一個受信任的TTA獲得一個TSP，然后將TSP、消息（M）、

和簽名組合，并將其加入數(shù)據(jù)的有效載荷，發(fā)送到接收實體B，提供簽名消息的適時性證明。

在下面的方案中，簽名生成由實體A或者TTA采用一個認定的數(shù)字簽名算法生成。SIGA()表示實體

A用其私鑰生成的簽名，SIGTTA()表示TTA使用其私鑰生成的簽名。SIGA()使用實體A的公開簽名驗證密

鑰驗證，SIGTTA()使用TTA的公開簽名驗證密鑰驗證。以下討論，假定實體A和B都已成功地驗證所有收

到的簽名。各方案描述如下：

實體A向TTA提供用戶信息（可選的）獲得TSP

如圖3所示，實體A可以從TTA請求一個時間戳，或者實體A使用TTA廣播的時間戳（即，實

體A沒有明確地從一個TTA請求時間戳），提供數(shù)字簽名適時性證明。

1、圖3中的請求消息只有在一個實體明確地從TTA請求一個時間戳?xí)r才被發(fā)送。如果請求被發(fā)送，

請求消息包含期望的用戶提供信息user_supplied_info。

2、TTA發(fā)送TSP到實體A（或廣播一個TSP，隨后被實體A獲得），其中TSP定義同6.1.1。

如果實體A在第一步被發(fā)送了請求信息：

時間戳數(shù)據(jù)timestamped_data包含用戶提供信息user_supplied_info。

如果實體A沒有在第一步發(fā)送請求信息，即廣播TSP：

在TSP采用廣播的形式下，用戶提供信息為空。

如果實體A和TTA之間存在雙方協(xié)議，則下列信息可以從TTA傳輸?shù)腡SP數(shù)據(jù)中去除：

用戶提供信息user_supplied_info中的任何一部分信息可以被去除，如果實體A已經(jīng)知道該

信息；

TTA提供信息中TTA_supplied_info中的任何一部分信息可以被去除，只要實體A知道該信

息，或者該信息能夠被實體A確定。

但是，任何從發(fā)送的TSP數(shù)據(jù)中刪除的信息，必須要包含在生成/驗證數(shù)字簽名

timestamp_signatureTTA時所用的時間戳數(shù)據(jù)中。

在接到從TTA發(fā)送的TSP時，實體A應(yīng)該：1）檢查傳輸?shù)牟糠钟脩籼峁┬畔ser_supplied_info

是否正確；2）使用TTA的公開簽名驗證密鑰驗證數(shù)字簽名timestamp_signatureTTA。

14

GB/TXXXXX—XXXX

圖3實體A向TTA提供用戶信息（可選的）獲得TSP

3、實體A簽名(M,TSP)，組裝數(shù)據(jù)D，并將其發(fā)送到實體B：

D=M,TSP,SIGA(M,TSP)，

其中，TSP同6.1.1中規(guī)定。

如果用戶提供信息中的任何一部分信息從來自TTA的TSP中被刪除，那么整個用戶提供信息要

在組建數(shù)據(jù)D時回填到TSP中，除非實體A和實體B存在相互協(xié)定，使得被刪除的部分能夠被實

體B知道或者重新生成。在存在部分信息刪除的情況下，整個用戶提供信息user_supplied_info

應(yīng)該包含在生成/驗證數(shù)字簽名timestamp_signatureTTA和SIGA（M，TSP）所用的時間戳數(shù)據(jù)

timestamped_data中。

如果TTA提供信息TTA_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個

TTA提供信息要在組建D時回填到TSP中，除非實體A和實體B之間存在雙方協(xié)定，可以讓B能夠

確定出這些信息。在這種情況下，如果實體B已知或者可以確定TTA提供信息，那么它的任何部

分信息可以從實體A傳輸?shù)腡SP數(shù)據(jù)中刪除。然而，整個TTA提供信息TTA_supplied_info應(yīng)該包

含在生成/驗證數(shù)字簽名timestamp_signatureTTA和SIGA（M，TSP）所用的時間戳數(shù)據(jù)

timestamped_data中。

4、在收到D時，實體B按照如下步驟進行操作：

用TTA的公鑰驗證數(shù)字簽名timestamp_signatureTTA；

用A的公鑰驗證數(shù)字簽名SIGA(M,TSP)。

上述兩個步驟執(zhí)行的先后順序無關(guān)，重要的是，這兩個驗證必須是成功的。

通過完成第4步的核查，實體B獲取如下證明：

a)消息M可能在收到TSP之前或者之后組裝。

b)數(shù)字簽名SIGA(M,TSP)在TSP中的時間戳表示的時間之后被生成。

c)D在TSP中的時間戳表示的時間之后被組裝。

如果需要一個更為精確的SIGA(M,TSP)生成時間證明，第二個可信的時間戳是必要的，見6.1.4。

實體A向TTA提供消息M的Hash值獲得TSP

如圖4所示，實體A可以在向TTA請求時間戳?xí)r，提供M的Hash值。用H表示生成的M的Hash

值。

1、實體A在向TTA的時間戳請求中發(fā)送H，即用戶提供信息由H和其它信息other_info組成。其中，

other_info可能空。

2、TTA向?qū)嶓wA回送一個TSP：

15

GB/TXXXXX—XXXX

TSP由時間戳數(shù)據(jù)及其數(shù)字簽名組成。與方案不同的是，用戶提供信息user_supplied_info

中包括了消息M的Hash值H。

如果實體A和TTA之間存在雙方協(xié)定，下列消息可以從傳送的TSP數(shù)據(jù)中去除：

user_supplied_info的任何部分信息可以被刪除，只要實體A已知該信息；

TTA_supplied_info的任何部分信息可以被刪除，只要實體A已知該信息，或者能夠被實體A

確定；

雖然這些信息可以從TSP傳輸信息中被刪除，但完整的user_supplied_info和TTA_supplied_info

要被包括在timestamped_data中，用于生成如下的簽名及其驗證：

timestamp_signatureTTA=SIGTTA(timestamped_data).

在收到從TTA中發(fā)送的TSP時，實體A應(yīng)該：1）檢查傳送的用戶信息是否正確；2）用TTA的

公鑰驗證timestamp_signatureTTA；

圖4實體A向TTA提供M的Hash值獲得TSP

3、實體A簽名(M,TSP),組裝D，并將其發(fā)送到實體B：

D=M,TSP,SIGA(M,TSP)

其中，TSP在第2步中規(guī)定。

如果user_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個

user_supplied_info要在組建D時回填到TSP中，除非實體A和實體B存在雙方協(xié)定，使得B可以確

定這些信息。一般情況下，D中傳輸?shù)腡SP中的下列信息可以被刪除：

H可以被刪除，因為它可以被實體B（重新）計算得到；

任何在user_supplied_info中的other_info，只要能夠被B知道或者確定則可以被刪除；

但整個user_supplied_info應(yīng)該包含在生成/驗證timestamp_signatureTTA和SIGA（M，TSP）所用

的timestamped_data中。

如果TTA_supplied_info中的任何一部分信息從來自TTA的TSP中被刪除，那么整個

TTA_supplied_info要在組建D時回填到TSP，除非實體A和實體B存在雙方協(xié)定，可以讓B能夠確

定出這些信息。在這種情況下，如果實體B已知或者可以決定TTA_su