0976.389.199
ISO / IEC 11770-7:2021 về Bảo mật thông tin - Quản lý khóa - Phần 7: Trao đổi khóa xác thực dựa trên mật khẩu giữa nhiều miền

ISO / IEC 11770-7:2021 về Bảo mật thông tin - Quản lý khóa - Phần 7: Trao đổi khóa xác thực dựa trên mật khẩu giữa nhiều miền

ISO / IEC 11770-7:2021 chỉ định các cơ chế trao đổi khóa xác thực dựa trên mật khẩu giữa nhiều miền, tất cả đều là giao thức trao đổi khóa xác thực dựa trên mật khẩu của bốn bên (4PAKE).

Tiêu chuẩn ISO / IEC 11770-7:2021

Giới thiệu

Trong miền bảo mật, hai thực thể có thể xác thực lẫn nhau và thiết lập khóa phiên dùng chung để bảo vệ giao tiếp của họ. Xác thực này thường dựa trên thông tin được thiết lập trước, chẳng hạn như mật khẩu được chia sẻ hoặc khóa đối xứng hoặc sở hữu chứng chỉ khóa công khai của nhau. Trong giao tiếp giữa nhiều miền, hai thực thể được gán cho hai miền bảo mật riêng biệt có thể không có thông tin xác thực được thiết lập trước phù hợp. Tuy nhiên, họ vẫn có thể thiết lập khóa phiên dùng chung bằng cách sử dụng thông tin xác thực mà mỗi thực thể chia sẻ với máy chủ miền của riêng mình và dựa vào chính các máy chủ miền để xác thực lẫn nhau.

Các kịch bản giao tiếp đa miền thực tế bao gồm liên lạc qua email, liên lạc qua điện thoại di động và nhắn tin tức thời. Trong những trường hợp này, thông tin liên lạc cần được bảo vệ trước cả những kẻ tấn công thụ động và chủ động. Trong các tình huống này, mỗi thực thể thường được đăng ký với một máy chủ dành riêng cho miền, chẳng hạn như máy chủ trao đổi email (đối với liên lạc qua email) hoặc đăng ký vị trí nhà riêng (đối với liên lạc qua điện thoại di động). Hơn nữa, hai thực thể giao tiếp từ các miền khác nhau thường không chia sẻ mật khẩu hoặc khóa đối xứng cũng như không sở hữu chứng chỉ khóa công khai của nhau.

Cơ chế trao đổi khóa được xác thực (AKE) cho phép hai thực thể thiết lập khóa phiên dùng chung dựa trên thông tin xác thực được thiết lập trước của họ. Cơ chế AKE dựa trên mật khẩu dựa trên hai thực thể chia sẻ trước một mật khẩu. Tương tự, cơ chế AKE dựa trên khóa đối xứng hoặc khóa bất đối xứng dựa trên việc hai thực thể chia sẻ trước khóa bí mật hoặc sở hữu chứng chỉ khóa công khai của nhau (và một phương tiện đáng tin cậy để xác minh chứng chỉ). Trong tài liệu này, ba loại cơ chế này được gọi là giao thức trao đổi khóa xác thực dựa trên mật khẩu hai bên (2PAKE), giao thức trao đổi khóa xác thực dựa trên khóa đối xứng hai bên (2SAKE) và trao đổi khóa xác thực dựa trên khóa không đối xứng hai bên (2AAKE), tương ứng. Giao thức 2PAKE được quy định trong ISO / IEC 11770-4, giao thức 2SAKE được quy định trong ISO / IEC 11770-2 và giao thức 2AAKE được quy định trong ISO / IEC 11770-3. Tất cả các cơ chế được quy định trong ISO / IEC 11770-1 [6], ISO / IEC 11770-2 và ISO / IEC 11770-3 đều thích hợp để sử dụng trong một lĩnh vực bảo mật. Ví dụ: các cơ chế được chỉ định trong ISO / IEC 11770-4 được sử dụng trong các ứng dụng trao đổi khóa được xác thực, trong đó hai trình phát, thường được gọi là máy chủ và máy khách, nằm trong cùng một miền bảo mật.

Tài liệu này (tức là ISO / IEC 11770-7) chỉ định các cơ chế trao đổi khóa được xác thực dựa trên mật khẩu giữa nhiều miền. Các cơ chế như vậy cho phép người dùng từ một miền thiết lập khóa phiên được chia sẻ với người dùng khác từ miền khác thông qua máy chủ miền tương ứng của họ và thông tin xác thực được thiết lập trước duy nhất mà mỗi người dùng có là mật khẩu được chia sẻ với máy chủ miền của họ.

Cụ thể hơn, mỗi cơ chế được chỉ định trong tài liệu này liên quan đến bốn bên trong hai miền bảo mật, trong đó mỗi cặp người dùng và máy chủ nằm trong cùng một miền. Loại cơ chế này được gọi là giao thức trao đổi khóa xác thực dựa trên mật khẩu (4PAKE) của bốn bên. Tài liệu này chứa một khuôn khổ để thiết kế các giao thức 4PAKE như vậy bằng cách sử dụng cách tiếp cận tổng hợp. Nghĩa là, giao thức 4PAKE có thể được thực hiện dựa trên hai khối xây dựng:

a) giao thức 2PAKE;

b) giao thức 2SAKE hoặc giao thức 2AAKE.

Tài liệu này cũng chỉ định một số cơ chế cho các giao thức 4PAKE như vậy. Các giao thức 2PAKE, 2SAKE và 2AAKE được sử dụng để triển khai các giao thức 4PAKE như vậy được chọn từ ISO / IEC 11770-4, ISO / IEC 11770-2 và ISO / IEC 11770-3 tương ứng.

Các hàm băm và các hàm dẫn xuất khóa được sử dụng trong các cơ chế được chỉ định trong tài liệu này được quy định trong ISO / IEC 10118-3 và ISO / IEC 11770-6, tương ứng.

Các chức năng chuyển đổi trong Phụ lục B được sử dụng trong các cơ chế quy định trong tài liệu này được quy định trong ISO / IEC JTC 1 / SC 27 WG 2 SD 7 [16].

1 Phạm vi

Tiêu chuẩn ISO / IEC 11770-7:2021 chỉ định các cơ chế trao đổi khóa xác thực dựa trên mật khẩu giữa nhiều miền, tất cả đều là giao thức trao đổi khóa xác thực dựa trên mật khẩu của bốn bên (4PAKE). Các giao thức như vậy cho phép hai thực thể giao tiếp thiết lập khóa phiên dùng chung chỉ bằng mật khẩu đăng nhập mà họ chia sẻ với máy chủ xác thực miền tương ứng của họ. Các máy chủ xác thực, được giả định là một phần của cơ sở hạ tầng khóa công khai tiêu chuẩn (PKI), hoạt động như cơ quan cấp chứng chỉ tạm thời (CA) xác nhận các tài liệu chính mà sau đó người dùng có thể sử dụng để trao đổi và đồng ý làm khóa phiên.

Tài liệu này không chỉ định phương tiện được sử dụng để thiết lập mật khẩu dùng chung giữa một thực thể và máy chủ miền tương ứng của nó. Tài liệu này cũng không xác định việc triển khai PKI và các phương tiện để hai máy chủ miền riêng biệt trao đổi hoặc xác minh chứng chỉ khóa công khai tương ứng của chúng.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 11770-2, Kỹ thuật bảo mật CNTT - Quản lý khóa - Phần 2: Cơ chế sử dụng kỹ thuật đối xứng

ISO / IEC 11770-3, Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý khóa - Phần 3: Cơ chế sử dụng kỹ thuật bất đối xứng

ISO / IEC 11770-4, Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý khóa - Phần 4: Cơ chế dựa trên bí mật yếu

Xem preview tiêu chuẩn ISO / IEC 11770-7:2021

 

Download tài liệu ISO / IEC 11770-7:2021 miễn phí tại đây!

Để xem được bản full ISO / IEC 11770-7:2021, quý khách có thể đăng ký mua bản full tiêu chuẩn thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976.389.199. ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia.

Bài viết liên quan