信息安全技术数字签名应用安全证明获取方法(GB-T 36644-2018).docx

ICS35.040L 80中华人民共和国国家标准GB/TXXXXXXXXX信息安全技术 数字签名应用安全证明获取方法Information security technologyThe methods for obtaining security attestations for digital signature applications(报批稿)（本稿完成日期：2017/11/29）XXXX-XX-XX发布XXXX-XX-XX实施GB/T XXXXXXXXX目 录前言 II1 范围12 规范性引用文件13 术语和定义14 缩略语25 数字签名应用安全证明获取25.1 概述25.2 私钥拥有属性的安全证明获取35.2.1 证明时刻确定的私钥拥有属性安全证明获取时效模型35.2.2 证明时刻不确定的私钥拥有属性安全证明获取时效模型45.2.3 私钥拥有属性安全证明获取过程55.2.4 具体的私钥拥有属性安全证明获取流程75.3 公钥有效性的安全证明获取105.3.1 总则105.3.2 拥有者的公钥有效性安全证明获取115.3.3 验证者的公钥有效性安全证明获取115.3.4 公钥有效性验证过程115.4 数字签名的生成时间安全证明获取125.4.1 总则125.4.2 从TTSA获取时间的方式获取签名生成时间证明125.4.3 用验证方提供的数据获得签名生成时间证明22附录A（资料性附录）SM2签名算法公钥有效性获取流程26参考文献27IGB/T XXXXXXXXX前言本标准按照GB/T 1.1-2009 标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国科学院数据与通信保护研究教育中心。本标准主要起草人：王跃武、刘丽敏、吕娜、荆继武、雷灵光、牛莹姣、刘志娟、周荃、夏鲁宁。IGB/T XXXXXXXXX信息安全技术 数字签名应用安全证明获取方法1 范围本标准规定了一套数字签名应用安全证明获取方法，用以规范数字签名应用安全证明过程。本标准适用于各种数字签名应用场景，在具体应用中，一些安全证明的获取流程需要根据具体的签名算法标准，进行具体化。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010信息安全技术术语3 术语和定义GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1公钥有效性证明 attestation of public key validity证明用于签名验证的公钥有效性的证据。3.2私钥拥有属性安全证明 attestation of private key possession证明声称的签名者确实实际拥有用于生成签名的私钥的证据。3.3证明消息attestation message用于获取私钥拥有属性安全证明的，具有特定格式的消息。3.4证明签名 attestation signature作用于证明消息的数字签名。3.5证明时间attestation time私钥拥有属性安全证明获取的时间。3.6证明水平attestation level私钥拥有属性安全证明的可信程度，分为高、中、低三个层次，依赖于证明获取的手段。3.7请求验证签名signature in question请求私钥拥有属性安全证明的一个签名。3.8签名生成时间证明attestation of signature timeliness证明一个数字签名确实是在一个时间点之前、之后或者是在两个时间点之间生成的证据。3.9时间戳机构 time stamp authority用来产生和管理时间戳的权威机构。GB/T 20520-2006，定义3.33.10可信时间戳机构 trusted time stamp authority被签名者、验证者以及其它签名依赖方相信的时间戳机构。4 缩略语下列缩略语适用于本文件。CA：证书认证机构（Certification Authority）TST：时间戳令牌（Tim Stamp Token）TTP：可信第三方（Trusted Third Party）TTSA：可信时间戳机构（Trusted Time Stamp Authority）TSP：时间戳数据包（Time Stamp Packet）5 数字签名应用安全证明获取5.1 概述本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。本标准明确了获取数字签名生成和验证环节的有效性证明方法。每一个数字签名者都拥有一对公私钥对，并且该签名者就是这对公私钥对的拥有者。私钥用于数字签名的生成，公钥用于数字签名的验证过程。数字签名生成、验证过程的安全证明获取包括：私钥拥有属性的安全证明获取、公钥有效性的安全证明获取和数字签名的生成时间安全证明获取。私钥的拥有者是指被授权使用公私钥对中的私钥来进行数字签名生成的实体。生成的数字签名可以被对应的公钥进行验证。被授权使用私钥生成签名并不意味着拥有者确实知道正确的私钥。因此，在拥有者进行数字签名之前，需要获取私钥拥有属性的安全证明。根据签名公私钥对生成方式的不同，私钥被知道的方式可以分为如下5种：a) 拥有者自己生成和维护公私钥对，仅由拥有者知道私钥；b) 拥有者在TTP的帮助下生成公私钥对，但是私钥只能由拥有者知道；c) 公私钥对由TTP生成后提供给拥有者，拥有者和TTP同时知道私钥；d) 公私钥对采用方式a)生成，生成后提供给充当密钥服务器的TTP，这样拥有者和TTP同时知道私钥；e) 公私钥对采用方式b)生成，生成后提供给充当密钥服务器的TTP，这样拥有者和充当密钥服务器的TTP同时知道私钥。后三种方式下，需要建立在TTP不会用私钥生成数字签名的信任之上。公私钥对拥有者、签名验证者以及其它签名依赖方要能够共享这个信任。方式c)、d)、e)相对于方式a)、b)，其私钥拥有属性安全证明的可信程度较低。私钥拥有属性安全证明的使用场景如下： 公私钥对拥有者在签名生成之前或者同时需要获得私钥拥有属性的安全证明。 验证者接受数字签名之前或者同时需要获得私钥拥有属性安全证明。此场景下，在获得私钥拥有属性安全证明之前，要完成生成签名的公私钥对拥有者的身份鉴别。 TTP向其它各方提供公私钥对拥有者的私钥拥有属性安全证明。此场景下，TTP在获得私钥拥有属性安全证明之前，要首先完成拥有者的身份鉴别。获取的私钥拥有属性安全证明是有时效性的。以下私钥拥有属性安全证明获取时效模型可以用于私钥拥有属性安全证明水平评估。5.2 私钥拥有属性的安全证明获取5.2.1 证明时刻确定的私钥拥有属性安全证明获取时效模型私钥拥有属性安全证明的获取要在一个特定的时间点完成，该时间点被称为证明时刻。随着时间的流逝，可能会发生一些事件，对私钥拥有属性安全证明产生负面影响。随着时间流逝的增加，发生这些事件的概率也将增加，安全证明水平将会因为这些事件的发生而降低。因此，合理地推断证明时刻之后一段时间，证明水平是必要的。图1描述了私钥拥有属性安全证明的证明水平随时间变化的模型。签名依赖方所在的组织可以根据该模型对安全证明的证明水平做出判断。在图1中，tA为私钥拥有属性安全证明的证明时刻。a，b，c的值由签名依赖方所在的组织根据自己的安全需求选择。图1 私钥拥有属性安全证明水平随时间变化的通用模型a和b是tA前后的两个时间段，在这个模型中，tA-a和tA+b这两个时间点内，获得的私钥拥有属性安全证明具有高的证明水平。签名依赖方所在的组织根据安全策略，选择不同的a、b值控制对证明的信任程度。c是tA+b之后的一个时间段，在这段时间内，私钥拥有属性安全证明的证明水平逐渐从高降到低。在tA+b+c之后的时间里，私钥拥有属性安全证明的证明水平一直为低。在私钥拥有属性安全证明的证明水平降为低之后，如果仍需要高的证明水平，需要重新进行私钥拥有属性安全证明的获取。5.2.2 证明时刻不确定的私钥拥有属性安全证明获取时效模型理想情况下，证明时刻是一个确定的值。然而，实际应用中，准确地确定证明时刻存在一定的困难，通常会用一个估计值代替。这个估计值是用一个包含证明生成时刻的一个时间段表示。证明时刻不确定的私钥拥有属性安全证明如图2所示。图2 基于证明时刻估值的私钥拥有属性安全证明时效模型a，b，c的定义同5.1.1。tG表示证明签名的生成时刻。t1表示被依赖方信任超前于tG的证明生成时刻。t2表示被依赖方信任滞后于tG的证明生成时刻。d表示t1和t2之间的差值。tA表示指定的证明时刻，并且必须满足t1tAt2，为了方便起见，可以指定tA= t1，或者tA= t2。a，b，c和d，由签名依赖方或者其所在的组织，在考虑如下因素的基础上确定：a) a，b，c的值根据组织策略对数字签名的安全证明的要求确定，同时还要考虑所采用的私钥拥有属性安全证明获取过程的难易程度。b) d的值应该小于a和b中最小值的一半，即d < 1/2 min（a, b），并且d的确定还要考虑签名获取时刻tG的误差估计。此外，d的确定还要考虑安全证明在网络上安全传输的时间。根据估计的私钥拥有属性安全证明获取时刻tA，依赖方可以确定不同时间的证明水平的级别。如图2所示，在tA-（a-d）和tA+（b-d）时刻内，获取的安全证明具有高或者中的证明水平，这取决于安全证明的获取过程。tA+（b-d）之后，证明水平逐步降低，在tA+（b-d）+c 时刻，安全证明水平降到低。之后，安全证明水平将一直为低。如果策略要求需要高的安全证明水平，则需要重新获得安全证明。具体的安全证明时效模型参数确定参考5.1.4。5.2.3 私钥拥有属性安全证明获取过程5.2.3.1 总则私钥拥有属性安全证明可以用如下一种或多种方法得到：a) 私钥拥有者用私钥签发一个新的数字签名，然后用其对应的公钥进行验证。b) 重新生成一次公私钥对，然后把它与拥有者当前拥有的公私钥对进行比对。c) 用公私钥对中的一个密钥重新生成另一个密钥，然后将新生成的密钥与拥有者拥有的对应密钥进行充分地比对。重新生成密钥的私钥拥有属性安全证明获取方法，只适用于公私钥对拥有者或者被拥有者信任可以知道私钥信息的TTP。公私钥对拥有者获取私钥拥有属性安全证明可以独立完成，或者与TTP合作完成。TTP获取私钥拥有属性安全证明需要与公私钥对拥有者合作完成。签名依赖方可以从TTP获取私钥拥有属性安全证明，或者与拥有者合作获取证明。私钥拥有属性安全证明获取的时刻要尽可能精确地被记录下来。确定证明获取的精确时刻可以有多个时间源。以下是一些可信程度依次降低的时间源： 由获取私钥拥有属性安全证明的实体、实体所在的组织以及其它依赖各方所信任的TTP提供可信时间戳作为时间源。 由获取私钥拥有属性安全证明的实体认可其精度的一个时钟作为时间源。 由精度不可知的时钟作为时间源。无论采用何种时间源，都需要让证明依赖方知道，以判断证明获取时间的可信性。5.2.3.2 利用数字签名获取私钥拥有属性安全证明5.2.3.2.1 证明消息利用数字签名获取私钥拥有属性安全证明是指用验证特定格式消息数字签名的方式来获取私钥拥有属性安全证明，该方法适用于公私钥对拥有者、TTP或者其它依赖方获得私钥拥有属性安全证明。当采用数字签名方式获得私钥拥有属性安全证明时，获取证明的实体将会被分配给一个拥有属性安全证明消息，简称为证明消息。然后由私钥拥有者对该消息进行签名，该签名称为证明签名。证明消息必须要包括下列信息：a) 签名者身份标识。b) 潜在的验证者身份标识。c) 时间戳令牌TST，该TST由所有依赖方都信任的可信时间戳机构（TTSA）生成。TST可以由签名者从TTSA获取，也可以由潜在的验证者从TTSA获取，之后传给签名者。所有依赖方都必须认可TTSA的签名安全强度。和/或d) 一个验证者提供的nonce值。如果选择了nonce值，则nonce值的随机性要等于或者超过要获取证明的私钥的随机性。如果证明消息不包含TST，而依赖方又要求在验证证明签名时，记录证明时间，则nonce值需要包含一个由验证者提供的时间戳，标示该nonce值提供给证明消息的时间。证明消息中私钥对应的公钥展示信息不是必须的。但是该公钥展示信息的包括与否，要严格根据如下的描述决定： 如果生成证明签名的签名者能够在获取证明消息之前，成功展示公钥，该公钥信息可以从证明消息中去除。 如果证明消息中包含TST，公钥展示应在TST标示的时刻之前。如果没有TST，公钥展示应在nonce值中包含的时刻之前。如果没有TST，并且nonce值中不包含时间，必须出示能够被各方信任的证据证明公钥展示在证明签名生成之前。 公钥可以以一个包含时间戳的证书展示。 公钥还可以以签名者此前签发的一个签名的方式展示。该签名签发所用的私钥必须和要获取证明的私钥一致，即可以用相同的公钥验证。该签名的签发时间要早于证明消息发送给签名者的时间。 公钥展示还可以在证明签名验证者向签名者提供nonce值之前，向验证者公开公钥的方式实现。如下附加信息可以包含在证明签名签发之后的证明消息里。一个明确的标识，表示该消息是用来获取私钥拥有属性安全证明的。证明签名签发者提供的nonce值，nonce值包含一个随机部分，其随机性不低于或者要高于获取证明的私钥。或其它的由证明签名签发者提供给验证者的数据。任何包含了上述所需信息的消息，都可以用来作为证明消息。证明消息被要获取证明的私钥进行签名生成证明签名。证明签名需要在TST，nonce值或者以其它形式提供的时刻立即生成。5.2.3.2.2 指定证明时间在证明签名成功验证后，需要给证明时间指定一个值。证明时间的指定受证明消息的格式影响，同时也受包括证明签名生成时间tG的t1 和t2的选择的影响。如5.1.2所述，t1 是超前或者等于证明签名生成时刻的一个时间点。t1 的几种可能赋值如下：a) 如果证明消息中包括了来自依赖方信任的TTSA的时间戳，则时间戳中的时间可以作为t1 赋值的候选。b) 如果证明消息中包含了验证者提供时间，例如，nonce值中包含的时间，则该时间可以作为t1 赋值的候选。c) 如果证明消息中包含一个验证者提供的nonce值，并且记录了nonce值第一次提供给证明签名签发者的时间，则该时间可以作为t1 赋值的候选。依赖方从上述的t1 赋值候选中选择他们认为最可信的时间源为t1 赋值。在可信程度相等的情况下，应该优先选择最晚的时间为t1 赋值。如5.1.2所述，t2 是滞后或者等于证明签名生成时刻的一个时间点。t2 的几种可能赋值如下： 如果证明签名生成时刻被包含在一个所有依赖方都信任的TTSA签发的TST内，则包含在TST中的时间可以作为t2 赋值的候选。 如果验证者记录了证明签名的接收时间，则该记录的时间可以作为t2 赋值的候选。 如果验证者记录了证明签名被验证的时间，则该记录的时间可以作为t2 赋值的候选。依赖方从上述的t2 赋值候选中选择他们认为最可信的时间源为t2 赋值。在可信程度相等的情况下，应该优先选择最早的时间为t2 赋值。如果证明签名已被成功验证通过，并且依赖方已经确定了证明时间的误差精度d，则可以按照如下的方法估计证明时间tA：如果t2t1d，并且t1可信度不小于t2，则应选择t1为证明时间tA。如果t2t1d，并且t1可信度小于t2，则应选择t2为证明时间tA。如果t2t1>d，则私钥拥有属性安全证明没有获得，不用赋值给证明时间tA。如果证明签名不能被验证通过，则私钥拥有属性安全证明没有获得，不用赋值给证明时间tA。5.2.3.2.3 指定初始证明水平证明签名被验证通过和证明时间指定完成后，需要指定证明的初始水平。证明初始水平指定按如下方法完成：a) 如果证明时间tA是从依赖方信任的TTSA提供的TST中获得，那么最初的证明水平被置于高。b) 如果证明时间tA不是从依赖方信任的TTSA提供的TST中获得，而是从证明签名验证者提供的一个精度被依赖方信任的时间源获得，那么最初的证明水平被置于中。c) 如果证明时间tA不是从依赖方信任的TTSA提供的TST中获得，而是从证明签名验证者提供的一个时间源获得，并且该时间源的精度对依赖方不可知，那么最初的证明水平被置于低。5.2.3.3 通过密钥再生获取私钥拥有属性安全证明密钥再生可以由公私钥对拥有者或者被提供公私钥对的TTP完成。密钥再生要在与原始密钥对生成环境不同的环境下，用不同于原始密钥对生成方法的方法生成一个或者一对密钥。在后续再次获取私钥拥有属性安全证明时，密钥再生可以采用与第一次密钥再生相同的环境和流程完成。私钥拥有属性安全证明获取只有在再生的密钥与拥有者拥有的密钥相同的情况下才能获取。密钥再生的过程与具体的签名算法相关，可以参考对应的算法标准。通过密钥再生获取私钥拥有属性安全证明，同样需要指定证明时间和初始证明水平，具体过程参见5.2.3.2.2和5.2.3.2.3。5.2.3.4 普通签名的私钥拥有属性安全证明确定本部分描述如何判断一个普通消息签名所对应的私钥拥有属性安全证明水平。普通消息一般不会充分满足5.2.3中的证明消息的各项要求。可以用签发该普通消息签名的私钥的私钥拥有属性安全证明来确定该普通消息签名的安全证明水平。普通消息签名安全证明获取可以在其对应私钥的私钥拥有属性安全证明的证明时间之前，同时或者之后生成。普通消息签名的生成时间用ts表示。ts可能有一个确定的值，或者是一个取值范围，或者是完全不确定的一个值。如果ts有一个具有充分精度的值，并且对应私钥的私钥拥有属性安全证明已经获取，则可以根据5.1.1中的时效模型，按照如下的方法确定该普通消息签名的安全证明水平：a) 如果（tA - （ad）ts（tA +（bd），那么该普通消息签名的安全证明水平等于获取的私钥拥有属性安全证明的初始证明水平；b) 如果（tA +（bd）ts（tA +（bd）+c），那么该普通消息签名的安全证明水平将从最初状态逐渐降低直至低水平；c) ts>（tA +（bd）+c），那么该普通消息签名的安全证明水平为低。如果ts没有一个确定的值，则该普通消息签名的安全证明水平被确定为低。5.2.4 具体的私钥拥有属性安全证明获取流程5.2.4.1 公私钥对拥有者获取私钥拥有属性安全证明公私钥对拥有者可以用如下一种或多种方法获取私钥拥有属性安全证明：a) 公私钥对拥有者采用证明签名获取私钥拥有属性安全证明：公私钥对拥有者需要完成以下内容：1) 确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c 值的基础上，确定d 值。2) 确定一个可信的t1值。3) 生成一个新的用于获取私钥拥有属性安全证明的证明消息。4) 用要获取证明的私钥对证明消息签名，生成证明签名。5) 用对应的公钥验证证明签名。6) 如果验证成功： 为t2确定一个可信的值； 如果t1 t2 t1+d，按照本标准前面的规定确定证明时间和初始证明水平。b) 公私钥对拥有者采用证明签名从TTP获取私钥拥有属性安全证明：1) 公私钥对拥有者要确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c 值的基础上，确定d值。2) 如果TTP负责证明时间的分配，则d值要让TTP知道。3) 公私钥对拥有者和/或 TTP要确定一个被公私钥对拥有者信任的t1值。4) 公私钥对拥有者生成一个新的用于获取私钥拥有属性安全证明的证明消息。5) 公私钥对拥有者用要获取证明的私钥对证明消息签名，生成证明签名。6) 公私钥对拥有者将证明消息、证明签名和其它必要的数据发送给TTP。7) TTP用对应的公钥验证证明签名。8) 如果验证通过： 需要通知公私钥对拥有者，证明签名验证成功； 公私钥对拥有者和/或TTP要为t2确定一个拥有者信任的值； 如果t1 t2 t1+d，公私钥对拥有者或者是TTP开始指定证明时间和初始证明水平；指定证明时间的实体必须要知道d值以及t1和t2；指定初始证明水平的实体必须知道确定t1和t2值的方法； 公私钥对拥有者要记录证明时间和初始证明水平。c) 公私钥对拥有者通过密钥再生获取私钥拥有属性安全证明：公私钥对拥有者需要完成以下内容：1) 确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c 值的基础上，确定d 值。2) 确定一个可信的t1值。3) 选择下面的一个操作： 重新生成要获取证明的私钥对应的密钥对； 重新生成要获取证明的私钥对应的密钥对中的一个密钥。4) 对比重新生成的密钥对（密钥）值和目前拥有的密钥值。5) 如果匹配成功： 为 t2确定一个可信的值； 如果t1t2t1+d，指定和记录证明时间，并且指定初始证明水平。d) 公私钥对拥有者通过密钥再生从TTP获取私钥拥有属性安全证明：1) 公私钥对拥有者要确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c 值的基础上，确定d 值。如果TTP负责证明时间值的指定，则d 值要让TTP知道。2) 公私钥对拥有者和/或TTP要确定一个t1值，该值要被公私钥对拥有者信任。3) 公私钥对拥有者要提供其持有的密钥以及任何其他必要的数据给TTP实体。4) TTP实体： 重新生成要获取证明的私钥对应的密钥对； 或者重新生成要提供保护的私钥对应的密钥对中的一个密钥。5) TTP对比重新生成的密钥对（密钥）值和拥有者目前拥有的密钥值。6) 如果匹配成功： 应通知公私钥对拥有者匹配成功； 公私钥对拥有者和/或TTP要确定一个被公私钥对拥有者信任的 t2 值； 如果t1 t2 t1+d，公私钥对拥有者或者是TTP开始指定证明时间和初始证明水平，指定证明时间的实体必须要知道d值以及t1和 t2 ；指定初始证明水平的实体必须知道确定t1和t2 值的方法； 公私钥对拥有者要记录证明时间和初始证明水平。5.2.4.2 TTP从公私钥对拥有者处获取私钥拥有属性安全证明TTP被要求提供私钥拥有属性安全证明给其它签名依赖方时，必须实施一个明确的私钥拥有属性安全证明获取过程。该过程通过验证证明签名的方式或者密钥再生的方式从公私钥对拥有者处获得。在再生密钥的情况下，TTP必须承诺不使用拥有者的密钥对知识生成数字签名。这种信任必须由公私钥对拥有者，潜在签名验证者，以及其它各依赖方共享。其中，使用证明签名的方法是首选方法。TTP使用如下一种或多种方法从公私钥对拥有者处获取私钥拥有属性安全证明：a) TTP通过验证证明签名的方法从公私钥对拥有者处获取私钥拥有属性安全证明：1) 确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c值的基础上，确定d 值。2) 公私钥对拥有者生成一个新的私钥拥有属性安全证明的证明消息。3) 公私钥对拥有者用要获取证明的私钥对证明消息签名，生成证明签名。4) 公私钥对拥有者提供证明消息、证明签名以及其他必要的数据给TTP。5) TTP为 t1 确定一个可信的值。6) TTP用要获取证明的私钥对应的公钥验证证明签名。7) 如果验证成功： TTP为 t2 确定一个可信的值； 如果t1 t2 t1+d，TTP开始指定证明时间和初始证明水平； TTP记录证明时间和初始证明水平，并且应该将这些值也提供给公私钥对拥有者。b) TTP通过密钥（密钥对）再生的方法从公私钥对拥有者处获取私钥拥有属性安全证明：1) 确定适当的d值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2) 公私钥对拥有者提供要获取证明的密钥信息，以及任何其他必要的数据给TTP。3) TTP为t1确定一个可信的值。4) TTP需要： 再生公私钥对拥有者的整个密钥对； 或者再生公私钥对拥有者的整个密钥对中的一个密钥。5) TTP将生成的密钥与公私钥对拥有者原有的密钥进行对比。6) 如果e）中的比对结果相匹配： TTP要为t2确定一个可信的值； 如果t1t2t1+d，TTP开始指定证明时间和初始证明水平，TTP必须知道t1和t2值以及t1和t2值的确定方法； TTP要记录证明时间、初始证明水平和d值，这些值也应提供给公私钥对拥有者。在响应其它依赖方的证明请求时，TTP要将私钥拥有属性安全证明，连同证明时间和初始证明水平一同提供给发起请求的依赖方。此外，TTP还可以向发起请求的依赖方提供在一个特定时刻的私钥拥有属性安全证明的估计值，证明水平估计的方法参见5.2.2中的证明时效模型。由TTP选择的a，b，c 和d 的值，可能与其它请求私钥拥有属性安全证明的依赖方的信任标准不同。如果是此种情况，则TTP应当（至少）准备t2t1值的上限（如，d）给潜在的依赖方，以及在确定上述值时对采用的时间源进行说明，从而使这些依赖方能够判定TTP提供的证明时间值是否有足够的精度（可信度）以满足他们的需要。5.2.4.3 验证者获取私钥拥有属性安全证明验证者在接受数字签名验证为有效之前，要获得签名者在生成签名时，其签名的私钥的私钥拥有属性安全证明。证明时间和初始证明水平需要验证者与签名者或者TTP相互合作获得。一旦通过标准流程获得证明后，以后任意时刻的签名的证明水平，可以根据5.2.2中的证明时效模型估计得到。验证者可以通过使用以下一种或多种方法获取私钥拥有属性安全证明：a) 通过与公私钥对拥有者合作，验证证明签名，获得私钥拥有属性安全证明：1) 确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2) 公私钥对拥有者要提供新的证明消息、证明签名和其它必要的数据给验证者。3) 验证者要为t1确定一个可信的值。4) 验证者用要获取证明的私钥对应的公钥验证证明签名。5) 如果证明签名验证通过： 验证者要为t2确定一个可信的值； 如果t1t2t1+d，验证者开始指定证明时间和初始证明水平； 验证者记录证明时间和初始证明水平。b) 验证者通过与TTP合作获得私钥拥有属性安全证明：1) 确定适当的d 值，例如，可以按照5.2.2中的时效模型，在确定完合适的a，b，c值的基础上，确定d值。2) 验证者向TTP索要私钥拥有属性安全证明。如果TTP成功获得了私钥拥有属性安全证明：3) TTP要将获取的证明时间、初始证明水平以及采用的证明获取方法提供给验证者。4) 如果验证者需要，TTP还应该提供t2- t1的上限值，t1、t2时间的获得方法和/或在验证者验证的签名签发时刻，TTP对证明的评估值。5) 验证者： 如果TTP提供的t2- t1的上限值>d，则拒绝TTP提供的私钥拥有属性安全证明，否则， 记录TTP提供的证明时间值和初始证明水平，和/或， TTP在请求时刻对该证明的评估，和/或， t1、t2值获得方法的描述，以帮助验证者判断是否对证明水平进行调整。5.3 公钥有效性的安全证明获取5.3.1 总则在进行私钥拥有属性安全证明获取之前，需要完成公钥有效性的获取。本标准下述内容所使用的参数定义如下：1) timestamped_data：时间戳数据，被可信时间戳机构签名，用以提供签名生成时间证明的一个数据结构。2) TTSA_supplied_info：可信时间戳机构信息，在签名生成时间证明获取中，由可信时间戳机构向时间戳申请实体发送时间戳数据包时提供的信息，是时间戳数据的组成部分。3) user_supplied_info：用户提供信息，是一个实体在向TTSA请求时间戳数据包时提供的信息，是时间戳数据的组成部分。4) timestamp_packet：时间戳数据包，在签名生成时间证明获取中，由可信时间戳机构发送给时间戳申请实体的，包含时间戳数据和时间戳签名的一个数据包。TSP由TTSA发送，包括如下信息：数字签名（timestamp_signatureTTSA）：由TTSA的私钥生成的数字签名；时间戳数据（timestamped_data）：生成数字签名的依赖数据，包括用来精确、明确地表示数字签名timestamp_signatureTTSA的生成时间的时间戳。5.3.2 拥有者的公钥有效性安全证明获取公私钥对拥有者可以通过以下五种方法获得公钥有效性的安全证明。其中，方法a)或者b)与方法c)或者d)的结合可以获得更为有效的安全证明。a) 公私钥对由拥有者自己生成：拥有者采用认定的方法生成公私钥对。b) 公私钥对由拥有者与TTP合作生成：拥有者在TTP的帮助下，采用认定的方法生成公私钥对。c) 拥有者采用明确的过程验证公钥有效性：拥有者通过执行一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见5.3.4。d) TTP采用明确的过程验证公钥有效性：拥有者要收到证明，证明TTP确实通过一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见5.3.4。TTP的验证结果要提供给拥有者。e) 公私钥对由TTP生成：TTP生成公私钥对，并将其提供给拥有者。如果采用了该方式，应该采用一个公钥有效性的验证过程，验证过程可以是拥有者按照上述方法c)进行，也可以是TTP按照上述方法d)进行。拥有者或者其代理需要知道，具体采用了上述哪种方法来获得公钥有效性的安全证明，以确定获得的公钥有效性安全证明是否满足拥有者的要求。5.3.3 验证者的公钥有效性安全证明获取签名的验证者可以通过采用如下三种方法，获取签发者在签名时所使用的公私钥对中的公钥有效性的安全证明。其中，前两种方法应该优先采用。a) 验证者采用明确的过程验证公钥有效性：验证者通过执行一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见5.3.4。b) TTP采用明确的过程验证公钥有效性：验证者要收到证明，证明TTP确实通过一个明确的验证过程获得公钥有效性的安全证明，具体的验证过程见5.3.4，TTP的验证结果要提供给验证者。c) TTP重新生成公钥：验证者要收到证明，证明TTP确实采用了一种可信的途径生成或者重新生成公钥，并且验证了公私钥对的一致性。签名验证者或其可信代理在进行签名验证之前，要知道采用了何种方法来获取公钥的有效性证明，以确定这样的证明是否能够满足验证者的要求。5.3.4 公钥有效性验证过程公钥有效性验证是通过一个明确的过程，检查公钥的数学特性是否符合要求。公钥的有效性验证过程不需要知道对应的私钥信息，因此，验证可以由任何人在任何地点进行。具体验证过程与算法标准关系密切，应参考相应的签名算法标准实施。公钥有效性证明包括必要的参数有效性证明。5.4 数字签名的生成时间安全证明获取5.4.1 总则签名生成时间是数字签名的一个重点关注因素，如私钥拥有属性安全证明获取需要签名的生成时间证明。数字签名生成时间证明获取利用可信时间戳机构TTSA提供的时间戳和/或签名验证者提供的时间相关数据实现。TTSA的建立和管理不在本标准的讨论范围内。5.4.2 从TTSA获取时间的方式获取签名生成时间证明5.4.2.1 时间戳数据包（TSP）的格式从被签名者和验证者信任的TTSA获取时间是获取签名生成时间证明的一个重要方式。时间戳数据包（TSP）是该方式获取签名生成时间证明的主要数据结构。TSP的格式具体描述如下：其中，逗号用来分割不同的数据，而不是数据格式的一部分。a) TSP = timestamped_data，timestamp_signatureTTSATSP由时间戳数据及其数字签名构成。数字签名是由TTSA的私钥对时间戳数据的签名。b) timestamp_signatureTTSA = SIGTTSA (timestamped_data)数字签名算法SIGTTSA是一个使用在时间戳数据上的数字签名操作，签名私钥为TTSA的数字签名私钥，该私钥只被用于对时间戳数据生成数字签名。c) timestamped_data = user_supplied_info, TTSA_supplied_info, timestamp其中：1) 用户提供信息user_supplied_info是一个实体在向TTSA请求时间戳时，提供的信息；user_supplied_info在实际应用中可以为空。如果提供了此信息，该信息将被TTSA在生成时间戳签名时使用，而不需要在传递时间戳数据包时返回给请求者。若使用了该信息，必须保证在一个实体要验证timestamp_signatureTTSA时，该信息是可见的。2) TTSA提供信息TTSA_supplied_info是TTSA在生成timestamp_signatureTTSA时采用的额外信息。TTSA_supplied_info在实际应用中可能为空。只要该部分信息能够在验证timestamp_signatureTTSA签名时，被重新生成，其中的任何一部分都可以从时间戳数据包中删除。3) 时间戳timestamp包含时间和（可能）的其他信息。因此，由TTSA生成的通用的TSP格式如下：TSP = user_supplied_info, TTSA_supplied_info, timestamp, SIGTTSA(user_supplied_info, TTSA_supplied_ info, timestamp)其中，user_supplied_info和TTSA_supplied_info可能为空。TTSA可能广播一个TSP或针对提出请求的实体回应一个TSP。 当TTSA广播一个TSP时，TSP中的用户提供信息为空，数字签名timestamp_signatureTTSA在TTSA提供信息（可能为空）和时间戳的基础上生成，TSP随后被组装和广播。在TTSA提供信息中，被所有TSP的既定接收者共知的部分可以从传输的TSP中删除。 当一个