标准规范下载简介
GB/T 37033.3-2018 信息安全技术 射频识别系统密码应用技术要求 第3部分:密钥管理技术要求ICS 35.040 L 80
GB/T37033.3—2018
国家市场监督管理总局 发布 中国国家标准化管理委员会
GTCC-112-2019 高速铁路道岔弹性铁垫板-铁路专用产品质量监督抽查检验实施细则GB/T 3703332018
范围 规范性引用文件 术语和定义 符号和缩略语 概述 密钥管理模型 6.1对称密钥管理模型 6.2非对称密钥管理模型 密钥管理通用要求 7.1对称密钥管理通用要求 7.2非对称密钥管理通用要求 密钥管理应用要求 8.1对称密钥管理应用要求 8.2非对称密钥管理应用要求 附录A(资料性附录)射频识别系统的密钥管理示例
范围 规范性引用文件 术语和定义 符号和缩略语 概述 · 密钥管理模型 6.1对称密钥管理模型 6.2非对称密钥管理模型 密钥管理通用要求 7.1对称密钥管理通用要求 7.2非对称密钥管理通用要求 密钥管理应用要求 8.1对称密钥管理应用要求 8.2非对称密钥管理应用要求 附录A(资料性附录)射频识别系统的密钥管理示例
GB/T 3703332018
GB/T37033《信息安全技术射频识别系统密码应用技术要求》分为3个部分: 第1部分:密码安全保护框架及安全级别; 一第2部分:电子标签与读写器及其通信密码应用技术要求; 一第3部分:密钥管理技术要求。 本部分为GB/T37033的第3部分。 本部分按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本部分起草单位:北京中电华大电子设计有限责任公司、兴唐通信科技有限公司、上海华申智能卡 应用系统有限公司、上海复旦微电子集团股份有限公司、北京同方微电子有限公司、复旦大学、航天信息 股份有限公司、上海华虹集成电路有限责任公司、北京华大智宝电子系统有限公司、华大半导体有限 公司。 本部分主要起草人:王俊峰、董浩然、陈跃、顾震、周建锁、刘丽娜、俞军、吴行军、王云松、徐树民 射文录、梁少峰、王俊宇、柳逊
GB/T37033《信息安全技术射频识别系统密码应用技术要求》分为3个部分: 第1部分:密码安全保护框架及安全级别; 一第2部分:电子标签与读写器及其通信密码应用技术要求; 一第3部分:密钥管理技术要求。 本部分为GB/T37033的第3部分。 本部分按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本部分起草单位:北京中电华大电子设计有限责任公司、兴唐通信科技有限公司、上海华申智能卡 应用系统有限公司、上海复且微电子集团股份有限公司、北京同方微电子有限公司、复亘大学、航天信息 股份有限公司、上海华虹集成电路有限责任公司、北京华大智宝电子系统有限公司、华大半导体有限 公司。 本部分主要起草人:王俊峰、董浩然、陈跃、顾震、周建锁、刘丽娜、俞军、吴行军、王云松、徐树民 谢文录、梁少峰、王俊宇、柳逊
GB/T 3703332018
Enc(X,K):加密运算符,用密钥K对X进行加密运算 SAM:安全存取模块(SecureAccessModule) SMl:SM1算法((SMlalgorithm) SM2:SM2算法(SM2algorithm) SM3:SM3算法(SM3algorithm) SM4:SM4算法(SM4algorithm) SM7:SM7算法(SM7algorithm) UID.唯一标识符(UniqueIDentifier)
射频识别系统密钥管理涉及密钥生成、密钥分发、密钥传输、密钥使用和密钥销毁等要素,如图
射频识别系统电子标签与读写器及其通信密钥管
写器之间的身份鉴别、访问控制、机密性及完整性的安全保护。非对称密码体制适用于电子标签和读 局器之间业务行为涉及的抗抵赖、身份鉴别、完整性及机密性的安全保护。 附录A给出了一个射频识别系统的密钥管理示例
6.1对称密钥管理模型
在射频识别系统中,对称密钥管理模型如图2所示。 射频识别系统对称密钥管理模型包含了密钥生命周期中的密钥生成、密钥分发、密钥使用和密钥销 毁4个主要过程。 按照GB/T37033.1一2018中所规定的标准适用范围,射频识别系统对称密钥管理模型包括了电 子标签和读写器等密码设备的密钥管理
GB/T 3703332018
图2射频识别系统对称密钥管理模型
图2中,密钥生成系统完成射频识别系统中密钥的生成和密钥的分散,密钥分发系统完成对电子标 签和读写器的密钥分发与注人;密钥在安全密码设备中使用,安全密码设备包括读写器SAM和电子 标签。 通过对称密码体制可进行鉴别服务和加密服务。鉴别服务包括身份鉴别、访问控制、数据完整性保 护等。加密服务用于对信息进行加解密等机密性保护。 当密钥不再需要时,应将其销毁,在销毁之后将不再有任何信息可用来恢复已销毁的密钥
6.2非对称密钥管理模型
时频识别系统中,非对称密钥管理的基本模型如图
GB/T37033.32018
图3射频识别系统非对称密钥管理模型
图3中的实体为逻辑实体,可对逻辑实体进行合并,例如当电子标签和读写器自已产生非对称密钥 对时,它们和密钥生成系统可合并,或者如果CA为电子标签和读写器产生非对称密钥对时,可将密钥 生成系统和CA合并。 当电子标签和读写器请求密钥生成系统产生一个非对称密钥对时,密钥生成系统产生公私钥对并 将它传给电子标签和读写器,传输应以鉴别和保密的方式进行,应保证在传输过程中任何第三方既不能 改密钥对,也不能读取密钥对。 CA为电子标签和读写器签发公钥证书,并将公钥证书传回给电子标签或读写器。若电子标签或 读写器需要将公钥信息提交给CA,则应保证其真实性和完整性,CA应对提交的公钥信息进行验证。 电子标签和读写器之间可通过非对称密码体制进行鉴别服务和加密服务,鉴别服务包括身份鉴别 数据原发鉴别、数据完整性和抗抵赖DB15/T 1641-2019 煤化工企业输煤栈桥施工技术规范(蒙),可通过数字签名实现。加密服务用于对信息进行加解密等机密性 保护。 当密钥不再需要时,应将其销毁。在销毁之后将不再有任何信息可用来恢复已销毁的密钥
7.1对称密钥管理通用要求
7.1.1对称密钥的生成
GB/T 3703332018
密钥,密钥类别及产生方式见表1
表1密钥类别与产生方式
其中,分散密钥由根密钥和16字节的密钥分散因子经符合国家密码管理部门指定的密码算法运算 产生GB/T 51380-2019 宽带光纤接入工程技术标准(完整正版,清晰无水印) ,应保证分散密钥被泄露不会导致根密钥和其他分散密钥的泄露。 分散密钥产生过程见图4。
图4分散密钥产生过程
密钥可进行多级分散,每一级分散所选择的密钥分散因子应采用能唯一标识该级内应用对象(如厂 商编号等)的信息获得。该信息的长度应不大于16字节、且不小于4字节;信息长度不足16字节时,应 在右边填0x00补齐。