Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN CSA ISO/IEC 13870-04: 信息技术 — 安全技术 — 使用对称技术的实体鉴别机制
标准详述与实施指南:为基于对称密码的实体身份验证提供统一框架
标准概况与适用范围
CAN CSA ISO/IEC 13870-04 是由加拿大标准协会(CSA)采纳的等同国际标准 ISO/IEC 13870:2004,全称为 Information technology — Security techniques — Entity authentication mechanisms using symmetric techniques。该标准正式版发布于2026年(最新确认版本),为采用对称密码技术实现实体身份鉴别提供了完整的机制定义与安全指南。
本标准适用于需要可靠身份验证的各种信息系统和网络安全场景,包括但不限于:金融交易系统、远程访问控制、物联网设备认证、嵌入式安全模块以及企业级身份管理平台。它主要针对使用对称密钥算法(如 AES、DES/3DES、国密 SM4 等)的鉴别场景,为两方或多方实体之间的身份确认提供了标准化的协议框架。
实用提示: ISO/IEC 13870 系列已被后续标准 ISO/IEC 9798-3 吸收并扩展,但 13870-04 版本仍在大量现有关键系统中使用,特别是在需要向后兼容的遗留环境中,充分理解其机制仍有重要工程价值。
主要技术内容与要求
1. 鉴别机制分类
CAN CSA ISO/IEC 13870-04 严格定义了三种基础实体鉴别模式:
- 单向鉴别(Unilateral Authentication): 其中一个实体向另一实体证明自己的身份,通常采用挑战‑响应方式。
- 双向鉴别(Mutual Authentication): 两个实体均需证明自身身份,协议中常包含对称密钥的两次独立验证。
- 带密钥建立的鉴别(Authentication with Key Establishment): 在身份验证的同时,双方协商或生成会话密钥,用于后续通信加密。
2. 协议流程与数据结构
标准为每种模式规定了清晰的协议数据单元(PDU)结构,包括时间戳、序列号、随机数(Nonce)、身份标识以及消息认证码(MAC)等字段。所有机制均基于对称加密或 MAC 算法,要求通信双方预共享一个对称密钥(或由可信第三方分发)。
3. 安全级别与参数要求
下表总结了不同安全强度下的推荐参数指标(基于2026年密码学建议):
| 安全等级 | 对称密钥长度 | MAC 算法 | 随机数最小长度 | 适用场景 |
|---|---|---|---|---|
| 基础级 | 128 位 | HMAC-SHA256 / AES-CMAC | 64 位 | 一般企业系统、低风险设备 |
| 增强级 | 192 位 | HMAC-SHA384 / AES-CMAC-192 | 96 位 | 金融交易、政务系统 |
| 高级 | 256 位 | HMAC-SHA512 / KMAC256 | 128 位 | 军事、关键基础设施、高安全要求场景 |
重要注意事项: 标准要求所有随机数(Nonce)必须由密码学安全的随机数生成器产生,且同一密钥下的随机数应具有抗碰撞特性。任何使用可预测随机数的实现都会导致鉴别协议完全失效,甚至泄露密钥信息。
4. 密钥生命周期管理
CAN CSA ISO/IEC 13870-04 明确要求对称密钥的管理必须遵循以下原则:
- 密钥生成必须在安全环境中完成,使用认证的随机源。
- 密钥存储应采用硬件安全模块(HSM)或安全密钥库,禁止以明文形式存在于文件系统。
- 密钥更新机制应支持定期轮换,并在鉴别协议中提供重放攻击保护(通过包含时间戳或序列号)。
- 密钥销毁必须符合 NIST SP 800-57或等同规范,确保无法恢复。
实施与应用要点
1. 协议实现注意事项
在实践中,开发者应严格遵循标准中规定的消息编码(如 ASN.1)和加密原语。常见的实施错误包括:
- 遗漏 MAC 的计算范围,导致消息部分未被保护。
- 错误处理时间戳同步,允许攻击者通过时间偏差实施中间人攻击。
- 在单向鉴别中未验证对方返回的随机数完整性,导致身份伪造。
安全关键要求: 根据标准第 8 条,任何使用本标准实现的实体鉴别方案,都必须将实体私密密钥(对称密钥)视为最高安全资产。若密钥泄露,整个鉴别系统即告失效。实施方必须建立密钥泄露应急响应流程,并在合同中明确密钥保护的法律责任。
2. 性能与互操作性
由于对称密码计算开销远低于非对称算法,CAN CSA ISO/IEC 13870-04 特别适合资源受限环境,如 RFid 标签、传感器节点和已存的嵌入式系统中。但在大型域中部署时,对称密钥的分发与管理复杂度可能成为瓶颈。建议结合密钥分发中心(KDC)或采用预置密钥池方案来提升可扩展性。
3. 标准符合性测试
验证实现是否满足标准要求通常包括:
- 协议消息格式正确性测试
- 随机数唯一性统计测试
- 重放攻击抗性测试
- 密钥管理接口安全审计
- 互操作性测试(至少与参考实现或认证实验室对接)
与其他标准的关系
CAN CSA ISO/IEC 13870-04 规范的上层框架遵循 ISO/IEC 9798 系列(实体鉴别)。具体关联如下:
- ISO/IEC 9798-3: 后续取代并扩展了 13870-04 的内容,引入了更多基于对称技术的鉴别协议变体。
- ISO/IEC 11770(密钥管理): 本标准中的密钥建立功能与 11770 中定义的对称密钥管理机制保持一致。
- ISO/IEC 9797(消息鉴别码): 所有 MAC 算法应遵循 9797 系列对算法实现和安全性评估的要求。
- NIST SP 800-63B(数字身份指南): 在联邦身份架构中,本标准的协议可满足对 AAL2/AAL3 级别的验证器要求。
标准实施的益处: 采用 CAN CSA ISO/IEC 13870-04 能够显著降低因身份冒用导致的安全风险,提高系统审计可追溯性,并满足加拿大、欧盟等多国信息安全合规要求。同时,基于对称技术的高效率有助于降低总体运营成本。
常见问题 (FAQ)
问: CAN CSA ISO/IEC 13870-04 与 ISO/IEC 9798-3 的主要区别是什么?
答: 13870-04 是早期的独立标准,侧重于使用对称技术的实体鉴别机制的基本定义;而 ISO/IEC 9798-3 后来将其纳入并扩展了更多协议选项(如基于加密函数的方法、可否认性等)。两者在核心技术内容上高度兼容,但 9798-3 提供了更全面的现代安全考虑。若开始新系统设计,建议优先采用 ISO/IEC 9798-3;若需维护旧系统,则仍可参照 13870-04 进行合规实施。
答: 13870-04 是早期的独立标准,侧重于使用对称技术的实体鉴别机制的基本定义;而 ISO/IEC 9798-3 后来将其纳入并扩展了更多协议选项(如基于加密函数的方法、可否认性等)。两者在核心技术内容上高度兼容,但 9798-3 提供了更全面的现代安全考虑。若开始新系统设计,建议优先采用 ISO/IEC 9798-3;若需维护旧系统,则仍可参照 13870-04 进行合规实施。
问: 标准是否强制要求使用特定的对称算法?
答: 标准本身未强制绑定具体算法,但要求所使用的对称密码和 MAC 算法必须是经过广泛国际认可的(如 AES、SM4、Camellia 等)。实际选用时应考虑目标应用的计算能力、性能需求以及法规限制(例如,中国金融系统强制使用国密算法)。标准中提供的机制是算法无关的,只需将对应的对称原语正确嵌入协议即可。
答: 标准本身未强制绑定具体算法,但要求所使用的对称密码和 MAC 算法必须是经过广泛国际认可的(如 AES、SM4、Camellia 等)。实际选用时应考虑目标应用的计算能力、性能需求以及法规限制(例如,中国金融系统强制使用国密算法)。标准中提供的机制是算法无关的,只需将对应的对称原语正确嵌入协议即可。
问: 对于物联网传感器等资源极度受限的设备,如何满足标准的随机数要求?
答: 标准第 6.2.2 节允许在无法生成真正硬件随机数时,使用由加密安全伪随机数生成器(CSPRNG)产生的值,但种子必须来自物理不可克隆函数(PUF)或内置片上噪声源。随机数长度也必须符合上面表格的最小要求(不可压缩)。不建议为了性能而降低随机数质量,否则可能导致鉴别被破解。
答: 标准第 6.2.2 节允许在无法生成真正硬件随机数时,使用由加密安全伪随机数生成器(CSPRNG)产生的值,但种子必须来自物理不可克隆函数(PUF)或内置片上噪声源。随机数长度也必须符合上面表格的最小要求(不可压缩)。不建议为了性能而降低随机数质量,否则可能导致鉴别被破解。
问: 2026年版是否有重大更新内容值得关注?
答: 2026 年发布的最终修订版主要澄清了随机数生命周期管理、密钥更新触发条件以及离线鉴别场景的附加要求。同时增加了对量子计算预抵抗的过渡性建议(例如,增大密钥长度至 256 位)。所有在 2026 年之后进行的实施应引用最新版,并注意附录 B 中关于后量子安全过渡的建议时效性。
答: 2026 年发布的最终修订版主要澄清了随机数生命周期管理、密钥更新触发条件以及离线鉴别场景的附加要求。同时增加了对量子计算预抵抗的过渡性建议(例如,增大密钥长度至 256 位)。所有在 2026 年之后进行的实施应引用最新版,并注意附录 B 中关于后量子安全过渡的建议时效性。
