书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ 中华人民共和国密码行业标准 犌犕 ／ 犜 ０１０７ — ２０２１ 智能 犐犆 卡密钥管理系统基本技术要求 犛犿犪狉狋犐犆犮犪狉犱犽犲狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿犫犪狊犻犮狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊 ２０２１  １０  １８ 发布 ２０２２  ０５  ０１ 实施 国家密码管理局 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 符号和缩略语 ２ …………………………………………………………………………………………… 　 ４．１ 　 符号 ２ ………………………………………………………………………………………………… 　 ４．２ 　 缩略语 ２ ……………………………………………………………………………………………… ５ 　 应用架构及密钥体系 ２ …………………………………………………………………………………… 　 ５．１ 　 应用架构 ２ …………………………………………………………………………………………… 　 ５．２ 　 密钥体系 ３ …………………………………………………………………………………………… ６ 　 功能要求 ６ ………………………………………………………………………………………………… 　 ６．１ 　 概述 ６ ………………………………………………………………………………………………… 　 ６．２ 　 系统管理功能 ７ ……………………………………………………………………………………… 　 ６．３ 　 对称密钥管理功能 ７ ………………………………………………………………………………… 　 ６．４ 　 非对称密钥管理功能 ７ ……………………………………………………………………………… 　 ６．５ 　 审计管理功能 ８ ……………………………………………………………………………………… 　 ６．６ 　 接口服务功能 ８ ……………………………………………………………………………………… ７ 　 密钥安全机制 ８ …………………………………………………………………………………………… 　 ７．１ 　 对称密钥安全机制 ８ ………………………………………………………………………………… 　 ７．２ 　 非对称密钥安全机制 ９ ……………………………………………………………………………… ８ 　 系统安全要求 １０ …………………………………………………………………………………………… 　 ８．１ 　 建设原则 １０ …………………………………………………………………………………………… 　 ８．２ 　 密码应用要求 １０ ……………………………………………………………………………………… 附录 Ａ （ 资料性 ） 　 分散因子及分散过程描述 １２ …………………………………………………………… 附录 Ｂ （ 资料性 ） 　 密钥下发机制 （ 采用密钥母卡及认证卡的方式 ） １３ …………………………………… 参考文献 １４ …………………………………………………………………………………………………… 犌犕 ／ 犜 ０１０７ — ２０２１前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由密码行业标准化技术委员会提出并归口 。 本文件起草单位 ： 北京江南天安科技有限公司 、 飞天诚信科技股份有限公司 、 中金金融认证中心有限公司 、 北京握奇数据股份有限公司 、 格尔软件股份有限公司 、 北京华大智宝电子系统有限公司 、 成都卫士通信息产业股份有限公司 、 兴唐通信科技有限公司 、 北京信安世纪科技股份有限公司 、 北京数字认证股份有限公司 。 本文件主要起草人 ： 朱家雄 、 王冬冬 、 朱鹏飞 、 张利琴 、 刘雅静 、 甄世玉 、 刘淑敏 、 郭晶莹 、 刘丽 、 贺亚 、 郑强 、 陈保儒 、 帅兰兰 、 张旭 、 顾蓉 、 汪宗斌 、 王春涛 。 Ⅰ 犌犕 ／ 犜 ０１０７ — ２０２１智能 犐犆 卡密钥管理系统基本技术要求 １ 　 范围 本文件规定了智能 ＩＣ 卡密钥管理系统的应用架构及密钥体系 、 功能要求 、 密钥安全机制 、 系统安全 要求等内容 。 本文件适用于指导智能 ＩＣ 卡密钥管理系统的设计 、 开发 、 检测和使用 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文 件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于 本文件 。 ＧＢ ／ Ｔ３２９０５ 　 信息安全技术 　 ＳＭ３ 密码杂凑算法 ＧＢ ／ Ｔ３２９０７ 　 信息安全技术 　 ＳＭ４ 分组密码算法 ＧＢ ／ Ｔ３２９１５ 　 信息安全技术 　 二元序列随机性检测方法 ＧＢ ／ Ｔ３２９１８ 　 信息安全技术 　 ＳＭ２ 椭圆曲线公钥密码算法 ＧＢ ／ Ｔ３６３２２ 　 信息安全技术 　 密码设备应用接口规范 ＧＢ ／ Ｔ３９７８６ 　 信息安全技术 　 信息系统密码应用基本要求 ＧＭ ／ Ｔ００４４ 　 ＳＭ９ 标识密码算法 ＧＭ ／ Ｔ００４５ 　 金融数据密码机技术规范 ＧＭ ／ Ｔ００５１ 　 密码设备管理 　 对称密钥管理技术规范 ＧＭ ／ Ｚ４００１ 　 密码术语 ３ 　 术语和定义 ＧＭ ／ Ｚ４００１ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 密钥管理系统 　 犽犲狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿 管理密钥生成 、 存储 、 导入 、 导出 、 下发 、 备份 、 归档 、 更新 、 销毁等业务的系统 。 ３ ． ２ 智能 犐犆 卡 　 狊犿犪狉狋犻狀狋犲犵狉犪狋犲犱犮犻狉犮狌犻狋 （ 狊 ） 犮犪狉犱 实现密码运算和密钥管理的含 ＣＰＵ （ 中央处理器 ） 的智能集成电路卡 。 ３ ． ３ 发卡机构 　 犻狊狊狌犲狉 开展智能 ＩＣ 卡发卡业务的服务机构 。 ３ ． ４ 密钥分散 　 犽犲狔犱犻狏犲狉狊犻犳狔 对称密钥体制中 ， 根密钥根据分散因子产生子密钥的运算过程 。 １ 犌犕 ／ 犜 ０１０７ — ２０２１３ ． ５ 根密钥 　 狉狅狅狋犽犲狔 处于层次化对称密钥结构中的顶层 ， 用于智能 ＩＣ 卡级子密钥及下级机构子密钥的产生或保护 。 　　 注 ： 参考 ＧＭ ／ Ｚ４００１ 中对主密钥的定义 ：“ 处于对称密码系统层次化密钥结构中的顶层 ， 用于下层密钥的产生或保 护 ”（ 定义 ２．１５２ ）。 ３ ． ６ 业务密钥 　 犪狆狆犾犻犮犪狋犻狅狀犽犲狔 密码应用系统中与具体应用相关的密钥 。 ［ ＧＭ ／ Ｔ００５１ — ２０１６ ， 定义 ３．４ ］ ４ 　 符号和缩略语 ４ ． １ 　 符号 下列符号适用于本文件 。 Ｋ ＥＮＣ 　 加密会话密钥 Ｋ ＤＥＫ 　 对称密钥或其他可选保密数据会话密钥 Ｋ ＭＡＣ 　 ＭＡＣ 会话密钥 ４ ． ２ 　 缩略语 下列缩略语适用于本文件 。 ＡＴＭ 　　　 自动取款机 　　　　　　　　　　　　　 （ ＡｕｔｏｍａｔｉｃＴｅｌｌｅｒＭａｃｈｉｎｅ ） ＩＣ 　　　 集成电路 　　　　　　　　　　　　　　 （ ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ ） ＫＥＫ 　　　 密钥加密密钥 　　　　　　　　　　　　 （ ＫｅｙＥｎｃｒｙｐｔｅｄＫｅｙ ） ＭＡＣ 　　　 消息鉴别码 　　　　　　　　　　　　　 （ ＭｅｓｓａｇｅＡｕｔｈｅｎｔｉｃａｔｉｏｎＣｏｄｅ ） ＰＡＮ 　　　 主账号 　　　　　　　　　　　　　　　 （ ＰｒｉｍａｒｙＡｃｃｏｕｎｔＮｕｍｂｅｒ ） ＰＩＮ 　　　 个人识别码 　　　　　　　　　　　　　 （ ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ ） ＰＯＳ 　　　 销售终端 　　　　　　　　　　　　　　 （ ＰｏｉｎｔＯｆＳａｌｅ ） ＰＳＡＭ 　　 销售点终端安全存取模块 　　　　　　　 （ ＰｕｒｃｈａｓｅＳｅｃｕｒｅＡｃｃｅｓｓＭｏｄｕｌｅ ） ＳＡＭ 　　　 安全存取模块 　　　　　　　　　　　　 （ ＳｅｃｕｒｅＡｃｃｅｓｓＭｏｄｕｌｅ ） ＳＫ 　　　 子密钥 　　　　　　　　　　　　　　　 （ Ｓｕｂｋｅｙ ） ＴＡＣ 　　　 交易验证码 　　　　　　　　　　　　　 （ ＴｒａｎｓａｃｔｉｏｎＡｕｔｈｏｒｉｚａｔｉｏｎＣｒｙｐｏｇｒａｍ ） ＴＫ 　　　 传输保护密钥 　　　　　　　　　　　　 （ ＴｒａｎｓｐｏｒｔＫｅｙ ） ５ 　 应用架构及密钥体系 ５ ． １ 　 应用架构 智能 ＩＣ 卡密钥管理系统是一套针对智能 ＩＣ 卡应用所需的密钥生命周期统一管理系统 ， 为使用密 钥的智能 ＩＣ 卡相关业务系统提供密钥服务功能 。 其功能主要包括 ： 对智能 ＩＣ 卡受理终端 、 智能 ＩＣ 卡 卡管系统 、 智能 ＩＣ 卡清结算系统 、 数据准备系统 、 用