信息技术 安全技术 抗抵赖 第2部分：采用对称技术的机制

信息技术安全技术抗抵赖第2部分：采用对称技术的机制范围本部分规定了抗抵赖服务的通用结构，以及一些特定的、与通信有关的抗抵赖机制，用于提供原发抗抵赖（NRO）与交付抗抵赖（NRD）等。本部分适用于信息系统中实现采用对称技术的消息抗抵赖相关应用的设计、实现与测试。抗抵赖服务旨在生成、收集、维护、利用和验证有关已声称事件或动作的证据，以解决有关该事件或动作已发生或未发生的争议。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15852（所有部分）信息技术安全技术消息鉴别码GB/T17903.1信息技术安全技术抗抵赖第1部分：概述GB/T25069-2010信息安全技术术语术语和定义GB/T17903.1中定义的以及下列术语和定义适用于本文件。密码校验函数cryptographiccheckfunction以秘密密钥和任意字符串作为输入，并以密码校验值作为输出的密码变换。不知道秘密密钥就不可能正确计算校验值。[GB/T25069-2010，定义2.2.2.101]数据完整性dataintegrity数据没有遭受以未授权方式所作的更改或破坏的特性。[GB/T25069-2010，定义2.1.36]证据生成者evidencegenerator产生抗抵赖证据的实体。[GB/T18794.4，定义3.4.4]杂凑函数hashfunction将比特串映射为固定长度的比特串的函数，该函数满足下列两特性：对于给定输出，找出映射为该输出的输入，在计算上是不可行的；对于给定输入，找出映射为同一输出的第二个输入，在计算上是不可行的。计算上的可行性取决于特定安全要求和环境。在本部分中，杂凑函数的输出的比特串称为杂凑码。[GB/T25069-2010，定义2.2.2.166]密钥key一种用于控制密码变换操作（例如加密、解密、密码校验函数计算、签名生成或签名验证）的符号序列。[GB/T25069-2010，定义2.2.2.106]消息鉴别码算法MACalgorithm一种带密钥的密码算法，用于将比特串和秘密密钥映射为定长比特串的函数，并满足以下两种性质：对任意密钥和任意输入串，该函数都能有效进行计算；对任一固定的密钥，该密钥在未知情况下，即便已知输入串集合中的第i个输入串和对应的函数值，且串集合中的第i个输入串值在观测前面的第i-1个函数值之后可能已经选定，要算出该函数对任意新输入串的值在计算上是不可行的。[GB/T25069-2010，定义2.2.2.201]消息鉴别码messageauthenticationcodeMAC消息鉴别码算法的输出的比特串。[GB/T25069-2010，定义2.2.2.200]秘密密钥secretkey用于对称密码技术中的一种密钥，并仅有一组规定实体所使用。[GB/T25069-2010，定义2.2.2.90]安全策略securitypolicy用于治理组织及其系统内在安全上如何管理、保护和分发资产（包括敏感信息）的一组规则、指导和实践，特别是那些对系统安全及相关元素具有影响的资产。[GB/T25069-2010，定义2.3.2]时间戳time-stamp包含通用时间源，描述某个时间点的时间变量参数。时间戳机构time-stampauthority提供时间戳服务的可信第三方。缩略语下列缩略语适用于本文件。DA：交付机构(DeliveryAuthority)GNRT：通用抗抵赖权标(GenericNon-RepudiationToken)NRD：交付抗抵赖(Non-RepudiationofDelivery)NRDT：交付抗抵赖权标(Non-RepudiationofDeliveryToken)NRO：原发抗抵赖(Non-RepudiationofOrigin)NROT：原发抗抵赖权标(Non-RepudiationofOriginToken)Pol：抗抵赖策略(Non-Repudiationpolicy)PON：肯定或否定，验证过程的结果(PositiveOrNegative)SENV：安全信封(SecureENVelope)TSA：可信时间戳机构(trustedTimeStampAuthority)TST：时间戳权标(Time-StampingToken)TTP：可信第三方(TrustedThirdParty)符号GB/T17903.1中定义的以及下列符号适用于本部分：a仅为实体A和可信第三方（TTP）所知的密钥b仅为实体B和可信第三方（TTP）所知的密钥da交付机构（DA）的密钥MACX(y)使用实体X的私密密钥对数据y计算得到的消息鉴别码ttp仅为TTP所知的密钥，用于生成抗抵赖权标Pol应用于证据的抗抵赖策略的可区分标识符SENV(.)用来计算安全信封的函数TSATSA的可区分标识符TTPTTP的可区分标识符(y,z)y和z按顺序的连接z1由提供NRO权标的有关数据字段组成的数据字段z2由提供NRD权标的有关数据字段组成的数据字段要求本部分中，凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。本部分中规定的机制均应满足以下通用要求：使用抗抵赖机制的各相关实体应能够独立与DA、TSA或TTP进行通信；如果两个实体使用本部分中规定的某个抗抵赖机制，双方应信任同一个第三方；在使用本部分规定的抗抵赖机制前，每个实体均应与DA、TSA或TTP建立一个共享的对称密钥。此外，每个DA、TSA或TTP实体均应持有一个仅为自己所知的密钥；密钥管理、密钥生成及密钥建立机制可参见GB/T17901.1等相关的国家标准或密码行业标准及ISO/IEC11770。抗抵赖服务中的所有实体应共享一个公共函数Imp；为创建安全信封而选取的MAC函数应为抗抵赖服务的所有参与者所持有；生成抗抵赖权标的TTP应能够访问时间和日期。本部分规定的抗抵赖机制的强度依赖于所使用的密码学机制和参数的安全级别和强度。本部分不规定抗抵赖机制中数据项的具体传输机制，抗抵赖机制的使用者可根据业务的安全需求来选择适当的机制，以确保使用抗抵赖机制的各实体间可以对数据项进行一致的解析。安全信封共享一个秘密密钥的两个实体（该密钥仅为这两个实体所知）可以使用一种称为安全信封（SENV）的数据完整性校验方法来相互传递消息。SENV可以通过使用实体的秘密密钥来产生，用于保护输入数据项。此外，SENV也可以由TTP使用仅为TTP持有的秘密密钥来产生，用于生成和验证证据。下面使用对称的完整性技术来创建安全信封。实体X的秘密密钥x用于计算密码校验值MACX(y)，该值附加在数据的后面，即：SENVX(y)=(y,MACX(y))其中MACX(y)应为满足GB/T15852要求的消息鉴别码。本部分规定的安全信封的强度依赖于所使用的密码学机制和参数的安全级别和强度，抗抵赖机制的使用者可根据业务的安全需求来选择适当的机制，GB/T15852中给出了各种消息鉴别码机制安全性的说明。抗抵赖权标的生成与验证TTP创建权标在本章描述的抗抵赖机制中，TTP担当证据生成和证据验证机构的角色。TTP可信赖地维护特定记录的完整性并直接参与解决争议。TTP颁发与消息m相应的“权标”。权标包括一个安全信封，由TTP使用其秘密密钥作用于该消息所确定的数据而形成。因为其它实体都不知道秘密密钥ttp，TTP是唯一可以创建或者验证权标的实体。在GB/T17903.1中，通用抗抵赖权标（GNRT）定义如下：GNRT=(text,SENVX(y))在本场景中，即：GNRT=(text,SENVTTP(y))此外，在发布权标之前，TTP应检查证据请求中的数据项。消息m可以是明文或密文。text为文本域，包括一些不需要密码学保护但在计算完整性校验值MAC和安全信封SENV时要用到的，或用于标识消息和密钥的附加数据（如消息标识符或密钥标识符）。本信息依赖于所使用的技术。抗抵赖机制使用的数据项安全信封使用的数据项在本部分描述的抗抵赖机制中，将对安全信封SENVX(z)=(z,MACX(z))进行交换，下列数据字段构成了该安全信封的内容：z=(Pol,fI,A,B,C,D,E,TG,Ti,Q,Imp(m))数据域z中包含的数据项定义如下：Pol 适用于证据的抗抵赖策略的可区分标识符fi 提供的抗抵赖服务的类型A 原发实体的可区分标识符B 与原发实体进行交互的实体的可区分标识符C 证据生成者的可区分标识符D 证据请求者的可区分标识符，如果证据请求者与原发实体不同E 动作涉及到的其他实体的可区分标识符TG 证据生成的日期与时间Ti 事件或动作发生的日期与时间Q 需要保护的可选数据Imp(m) 与动作有关的消息m的印记，即1）m的杂凑码，或2）m本身在本部分中，根据抗抵赖服务的不同，i的值为1（原发抗抵赖）或2（交付抗抵赖）.抗抵赖权标使用的数据项抗抵赖权标包括一个文本域text与一个安全信封，定义如下：抗抵赖权标=(text,SENVTTP(z))文本域包括一些不需要密码学保护但在计算完整性校验值MAC和安全信封SENV时要用到的，或用于标识消息和密钥的附加数据（如消息标识符或密钥标识符）。本信息依赖于所使用的技术。抗抵赖权标证据提供证据通常由抗抵赖权标提供，如果策略要求，也可以由附加权标提供，例如：时间戳权标（TST）、或由另一个可信的第四方（如公证人）提供的对事件和动作以及消息的存在性给予附加保证的权标等。如果可信第三方可以独自生成可信时间戳，则不需要增加TST作为证据。抗抵赖权标（NROT、NRDT）中包含的时间可认为是安全可靠的，因为它是由可信机构提供的。如果可信第三方（TTP、DA）不能提供可信时间戳，那么抗抵赖集合中就需要增加由可信时间戳机构（TSA）提供的TST以完成证据。原发抗抵赖权标原发抗抵赖权标（NROT）由TTP应原发者的请求而创建，其格式如下：NROT=(text,z1,MACTTP(z1))，其中z1=(Pol,f1,A,B,C,D,TG,T1,Q,Imp(m))NROT所需信息z1中包含的数据项定义如下：Pol 适用于证据的抗抵赖策略的可区分标识符f1 原发抗抵赖服务的标记A 原发者的可区分标识符B 预定接收者的可区分标识符C 生成证据的TTP的可区分标识符D 观察者的可区分标识符，如果存在独立观察者TG 证据生成的日期与时间T1 消息原发的日期与时间Q 需要保护的可选数据Imp(m) 与动作有关的消息m的印记，即1）m的杂凑码，或2）m本身交付抗抵赖权标交付抗抵赖权标（NRDT）由TTP应接收者的请求而创建，其格式如下：NRDT=(text,z2,MACTTP(z2))，其中z2=(Pol,f2,A,B,C,D,TG,T2,Q,Imp(m))NRDT所需信息z2中包含的数据项定义如下：Pol 适用于证据的抗抵赖策略的可区分标识符f2 交付抗抵赖服务的标记A 原发者的可区分标识符B 接收者的可区分标识符C TTP的可区分标识符D 观察者的可区分标识符，如果存在独立观察者TG 证据生成的日期与时间T2 消息交付的日期与时间Q 需要保护的可选数据Imp(m) 与动作有关的消息m的印记，即1）m的杂凑码，或2）m本身时间戳权标时间戳权标TST可由可信时间戳机构（TSA）使用GB/T20520中的方法生成。TTP进行的权标验证验证过程在抗抵赖交换过程的某个环节上，可能需要TTP对实体的权标（如上定义所示）进行验证。在交换完成以后的某个时刻，也可能需要再次验证权标，或者向第四方提供证据以证明其真实性。验证过程不仅要检验权标是否由TTP创建，而且要检验权标是否与消息的数据字段确切相关。为了验证权标是否为给定的消息而创建，实体把由消息计算而得的Imp(m)与数据字段z中包括的Imp(m)进行比较，然后要求TTP对权标及其数据字段进行验证。为了验证由对称完整性技术生成的安全信封，应进行如下操作：使用实体X的相应秘密密钥x对安全信封中包含的数据y重新计算密码校验值MACX(y)，然后把结果与所提供的密码校验值进行比较。TTP应使用8.4.2与8.4.3中定义的两种验证方法之一进行验证。在线权标验证本方法中，TTP使用包含秘密密钥ttp的安全模块来验证权标。安全模块将该权标与使用数据项zi和秘密密钥ttp在其内部生成的值进行比较，并返回比较结果，该结果决定了权标是否有效。由于密钥ttp不为TTP之外的任何人所知，如果安全模块返回的结果表明该权标是有效的，那么所验证的权标也可以认为是真实可信的。权标表本方法中，TTP发布的所有权标储存在一张表中。对每个已创建的权标，TTP记录下权标和相关的数据字段（zi）以及秘密密钥ttp的密钥标识符。要验证一个权标，TTP把该权标作为索引在标准查找。如果在表中能够找到要验证的权标，而且该权标所带的数据字段（即权标的一部分）与表中对应的数据字段相符，则认为该权标是真实可信的。特定抗抵赖机制抗抵赖机制本章规定的抗抵赖机制支持生成下列抗抵赖证据：原发抗抵赖（NRO）、交付抗抵赖（NRD）。另外，本章定义了时间戳的生成机制。当实体A想要向实体B发送消息，则实体A称为抗抵赖传输的原发者，实体B称为接收者。本章规定的抗抵赖机制的实例可参见附录A。8章所描述的某些机制中，使用到了数据字段zi。这一数据字段除了不包含时间信息外与抗抵赖权标中的zi数据字段完全一致。时间信息由TTP（或DA）提供，或者由可信时间戳机构应TTP（或DA）的请求而提供。当Imp(m)即消息m本身时，不必将m与权标一起发送，并且验证Imp(m)的步骤也可省略。原发抗抵赖机制步骤与机制原发者创建了一条消息并发送给特定的接收者。接收者使用TTP来验证与之相关的原发抗抵赖权标，从而检验该消息来源于其声称的发送者。本机制包含三个步骤：第一步，原发者构造数据并封装入SENV发送给TTP。TTP生成原发抗抵赖权标（NROT）并返回给A；第二步，原发者A将NROT与消息m发送给接收者B；第三步，接收者把安全信封中封装的NROT发送给TTP进行验证。原发抗抵赖在第三步建立。权标生成步骤1—原发者A与TTP间实体A使用密钥a生成安全信封SENVA(z1’)，其中z1’同8.3.2规定的z1，但数据项TG为空。实体A把安全信封发送给TTP以请求NROT；TTP验证安全信封来自实体A。如果验证通过，TTP插入数据项TG以完成z1，并使用密钥ttp计算：NROT=(text,z1,MACA(z1))然后将SENVA（NROT）返回给A；实体A验证SENVA（NROT）来自TTP，且其中的z1内容与z1’相一致。步骤2—原发者A到接收者B实体A向实体B发送：(m,NROT)。步骤3—接收者B与TTP间实体B执行以下验证操作：校验z1中的策略Pol满足其安全要求；校验z1中的f1标示了原发抗抵赖权标；校验标识符A,B,C有效；校验标识符D为实际存在的独立观察者；校验时间TG与T1的正确性；校验z1中Imp(m)值的正确性。实体B使用密钥b生成SENVB(NROT)并发送给TTP，要求验证来自A的NROT；TTP验证SENVB(NROT)来自B，并验证NROT是真实可信的。如果SENVB(NROT)是有效的，TTP向B发送SENVB((PON,NROT))，其中：如果NROT是真实可信的，PON为肯定，如果NROT不可信，则PON为否定；实体B检验SENVB((PON,NROT))来自TTP；若检验通过，并且验证结果PON为肯定，则建立了原发抗抵赖（即，消息来自A）；储存NROT以供将来原发抗抵赖使用。权标验证若证据使用者B在未来的某时刻需要再次验证NROT的真实可信性，则其可以单独执行9.2.2.3节中规定的步骤3来完成验证。交付抗抵赖机制步骤与机制本机制包含三个步骤：第一步，实体B在接收到消息m后，向TTP发送请求以要求生产交付抗抵赖权标，该请求封装在安全信封中，TTP生成交付抗抵赖权标（NRDT），并返回给接收者B；第二步，接收者B将NRDT发送给原发者A；第三步，原发者将NRDT封装在安全信封发送给TTP进行验证。交付抗抵赖在第三步建立。权标生成步骤1—接收者B与TTP间实体B使用密钥b生成安全信封SENVB(z2’)，其中z2’同8.3.3规定的z2，但数据项TG为空。实体B把安全信封发送给TTP以请求NRDT；TTP验证安全信封来自实体B。如果验证通过，TTP插入数据项TG以完成z2，并使用密钥ttp计算：NRDT=(text,z2,MACB(z2))然后将SENVB（NRDT）返回给B；实体B验证SENVB（NRDT）来自TTP，且其中的z2内容与z2’相一致。步骤2—接收者B到原发者A实体B向实体A发送：NRDT。步骤3—原发者A与TTP间实体A执行以下验证操作：校验z2中的策略Pol满足其安全要求；校验z2中的f2标示了交付抗抵赖权标；校验标识符A,B,C有效；校验标识符D为实际存在的独立观察者；校验时间TG与T2的正确性；校验z2中Imp(m)值的正确性。实体A使用密钥a生成SENVA(NRDT)并发送给TTP，要求验证来自B的NRDT；TTP验证SENVA(NRDT)来自A，并验证NRDT是真实可信的。如果SENVA(NRDT)是有效的，TTP向A发送SENVA((PON,NRDT))，其中：如果NRDT是真实可信的，PON为肯定，如果NROT不可信，则PON为否定；实体A检验SENVA((PON,NRDT))来自TTP；若检验通过，并且验证结果PON为肯定，则建立了交付抗抵赖；储存NRDT以供将来交付抗抵赖使用。权标验证若证据使用者A在未来的某时刻需要再次验证NRDT的真实可信性，则其可以单独执行9.3.2.3节中规定的步骤3来完成验证。获取时间戳权标的机制当可信时间源被请求且权标生成方的时钟无法被信任时，需要依赖于可信第三方的TSA来提供可信时间戳。实体X（请求者）与TSA之间获取时间戳的通信可参见GB/T20520。（资料性附录）抗抵赖机制实例原发抗抵赖与交付抗抵赖机制实例本附录所示的抗抵赖机制可在实体A和B之间提供原发抗抵赖和交付抗抵赖。实体A欲向实体B发送消息，于是成为抗抵赖交换的原发者。作为消息的接收方，实体B就是接收者。在使用下列机制之前，假设实体A和实体B分别持有密钥a和b，TTP除了拥有自己的密钥ttp以外，还持有密钥a和b。下面给出了使用在线TTP的三种不同的抗抵赖机制（M1、M2和M3）。通过在SENV消息中包含时间戳或序列号，可以防止未授权延迟或消息重放。通过在NROT和NRDT中包含时间戳，可进一步验证消息传输时的时间戳。当Imp(m)即消息m本身时，不必将m与权标一起发送，并且验证Imp(m)的步骤也可省略。机制M1：强制NRO，可选NRD机制M1的步骤机制M1见图A.1，共包含5个步骤，在两个实体与TTP之间通过3个步骤建立原发抗抵赖，如果继续可选的NRD步骤（根据接收者的决定），那么可通过再执行2个步骤建立交付抗抵赖。尽管是否继续进行交付抗抵赖的步骤取决于接收者，但要注意，一旦建立了交付抗抵赖，这一可选的交付抗抵赖就完全绑定了。本机制可以提供原发抗抵赖并可选地提供交付抗抵赖。该协议的用法（仅提供原发抗抵赖或同时提供原发抗抵赖和交付抗抵赖）由发送者A、接收者B和TTP在具体协议执行前商定。步骤1—原发者A与TTP间实体A使用密钥a生成安全信封SENVA(z1’)，其中z1’同8.3.2规定的z1，但数据项TG为空。实体A把安全信封发送给TTP以请求NROT；TTP验证安全信封来自实体A。如果验证通过，TTP插入数据项TG以完成z1，并使用密钥ttp计算：NROT=(text,z1,MACTTP(z1))然后将SENVA（NROT）返回给A；实体A验证SENVA（NROT）来自TTP。机制M1步骤2—原发者A到接收者B实体A向实体B发送：(m,NROT)。步骤3—接收者B与TTP间实体B验证z1中Imp(m)值的正确性。然后使用密钥b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3规定的z2，但数据项TG为空。实体B把上述安全信封发送给TTP以要求验证来自A的NROT并请求生成NRDT；TTP验证SENVB(NROT)与NROT。如果两者均有效，则TTP验证SENVB(z2’)来自实体B。如果验证通过，TTP插入数据项TG以完成z2，并计算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)与NROT均是真实可信的，则TTP使用密钥ttp计算并向B发送SENVB((PON,NROT,NRDT))，其中PON为肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密钥ttp计算并向B发送SENVB((PON,NROT))，其中PON为否定；实体B检验SENVB((PON,NROT,NRDT))来自TTP；若检验通过，并且验证结果PON为肯定，则建立了原发抗抵赖（即，消息来自A）；储存NROT以供将来原发抗抵赖使用。步骤4—接收者B到原发者A实体B向实体A发送：NRDT。步骤5—原发者A与TTP间实体A校验z2中Imp(m)值的正确性。然后使用密钥a生成SENVA(NRDT)并发送给TTP，要求验证来自B的NRDT；TTP验证SENVA(NRDT)来自A，并验证NRDT是真实可信的。如果SENVA(NRDT)是有效的，TTP向A发送SENVA((PON,NRDT))，其中：如果NRDT是真实可信的，PON为肯定，如果NROT不可信，则PON为否定；实体A检验SENVA((PON,NRDT))来自TTP；若检验通过，并且验证结果PON为肯定，则建立了交付抗抵赖；实体A储存NRDT以供将来交付抗抵赖使用。机制M2：强制NRO，强制NRD机制M2的步骤机制M2机制M2见图A.2，在两个实体与TTP之间通过4个步骤建立原发抗抵赖和交付抗抵赖。在本机制中，TTP在向B发送消息收据的同时，直接通过SENV把它发送给A。步骤1—原发者A与TTP间实体A使用密钥a生成安全信封SENVA(z1’)，其中z1’同8.3.2规定的z1，但数据项TG为空。实体A把安全信封发送给TTP以请求NROT；TTP验证安全信封来自实体A。如果验证通过，TTP插入数据项TG以完成z1，并使用密钥ttp计算：NROT=(text,z1,MACTTP(z1))然后将SENVA（NROT）返回给A；实体A验证SENVA（NROT）来自TTP。步骤2—原发者A到接收者B实体A向实体B发送：(m,NROT)。步骤3—接收者B与TTP间实体B验证z1中Imp(m)值的正确性。然后使用密钥b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3规定的z2，但数据项TG为空。实体B把上述安全信封发送给TTP以要求验证来自A的NROT并请求生成NRDT；TTP验证SENVB(NROT)与NROT。如果两者均有效，则TTP验证SENVB(z2’)来自实体B。如果验证通过，TTP插入数据项TG以完成z2，并计算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)与NROT均是真实可信的，则TTP使用密钥ttp计算并向B发送SENVB((PON,NROT,NRDT))，其中PON为肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密钥ttp计算并向B发送SENVB((PON,NROT))，其中PON为否定；实体B检验SENVB((PON,NROT,NRDT))来自TTP；若检验通过，并且验证结果PON为肯定，则建立了原发抗抵赖；储存NROT以供将来原发抗抵赖使用。步骤4—原发者A与TTP间在步骤3中向B发送NRDT之后，TTP立即向A发送SENVA(NRDT)。实体A检验SENVA(NRDT)与NRDT；若检验通过，则建立了交付抗抵赖（即，消息被B接收）；实体A储存NRDT以供将来交付抗抵赖使用。机制M3：带有中介TTP的强制NRO和强制NRD机制M3的步骤机制M3见图A.3，在两个实体与TTP之间通过4个步骤建立原发抗抵赖和交付抗抵赖。在本机制中，TTP在原发者和接收者之间充当了中间人的角色，两个实体不再直接通信。为此，实体A发送消息给TTP作为步骤1中的一部分，TTP将其传递给实体B作为步骤2的一部分。在本机制中，TTP可选地生成并向原发实体发送提交抗抵赖与传输抗抵赖权标。步骤1—原发者A与TTP间实体A使用密钥a生成安全信封SENVA(z1’)，其中z1’同8.3.2规定的z1，但数据项TG为空。实体A把安全信封发送给TTP以请求NROT；TTP验证安全信封来自实体A。如果验证通过，TTP插入数据项TG以完成z1，并使用密钥ttp计算：NROT=(text,z1,MACTTP(z1))然后将SENVA（NROT）返回给A；实体A验证SENVA（NROT）来自TTP。机制M3步骤2—TTP到接收者BTTP向实体B发送：(m,NROT)。步骤3—接收者B与TTP间由于NROT不是以安全信封的方式收到的，因此实体B需要与TTP一起来验证NROT，所以B在验证验证z1中Imp(m)值的正确性之后，使用密钥b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3规定的z2，但数据项TG为空。实体B把上述安全信封发送给TTP以要求验证来自A的NROT并请求生成NRDT；TTP验证SENVB(NROT)与NROT。如果两者均有效，则TTP验证SENVB(z2’)来自实体B。如果验证通过，TTP插入数据项TG以完成z2，并计算：NRDT=(text,z2,MACTTP(z2))如果SENVB