犐犆犛35.040 犔8 0: — 备案号 44640 2014 中华人民共和国密码行业标准 犌犕/犜0035.5—2014 射频识别系统密码应用技术要求 第 5 部分 :密钥管理技术要求 犛狆犲犮犻犳犻犮犪狋犻狅狀狊狅犳犮狉狔狆狋狅犵狉犪狆犺犻犮犪狆狆犾犻犮犪狋犻狅狀犳狅狉犚犉犐犇狊狔狊狋犲犿狊— 犘犪狉狋5:犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犽犲狔犿犪狀犪犵犲犿犲狀狋 20140213 发布 20140213 实施 国家密码管理局 发 布 犌犕 犜00355 2014 — / 中华人民共和国密码 行 业 标 准 射频识别系统密码应用技术要求 第 5 部分 :密钥管理技术要求 GM/T0035.5—2014 中国标准出版社出版发行 北京市朝阳区和平里西街甲 2 号 (100029) 北京市西城区三里河北街 16 号 (100045) 网址 www. spc.net.cn 总编室 :(010)64275323 发行中心 :(010)51780235 读者服务部 :(010)68523946 中国标准出版社秦皇岛印刷厂印刷 各地新华书店经销 开本 880×1230 1/16 印张 1 字数 18 千字 2014 年 4 月第一版 2014 年 4 月第一次印刷 书号 :155066·227015 定价 18.00 元 如有印装差错 由本社发行中心调换 版权专有 侵权必究 举报电话 :(010)68510107 犌犕/犜0035.5—2014 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 符号和缩略语 …………………………………………………………………………………………… 1 5 密钥体制 ………………………………………………………………………………………………… 1 5.1 对称密钥体制 ……………………………………………………………………………………… 1 5.2 非对称密钥体制 …………………………………………………………………………………… 2 6 对称密钥管理模型 ……………………………………………………………………………………… 2 7 对称密钥管理通用要求 ………………………………………………………………………………… 3 8 对称密钥使用要求 ……………………………………………………………………………………… 3 8.1 身份鉴别 …………………………………………………………………………………………… 3 8.2 访问控制 …………………………………………………………………………………………… 3 8.3 机密性 ……………………………………………………………………………………………… 3 8.4 完整性 ……………………………………………………………………………………………… 4 附录 A (资料性附录) 射频识别系统的密钥管理示例 ………………………………………………… 5 Ⅰ 犌犕/犜0035.5—2014 前 言 GM/T0035《射频识别系统密码应用技术要求》分为五个部分 : ——— 第 1 部分 :密码安全保护框架及安全级别 ; ——— 第 2 部分 :电子标签芯片密码应用技术要求 ; ——— 第 3 部分 :读写器密码应用技术要求 ; ——— 第 4 部分 :电子标签与读写器通信密码应用技术要求 ; ——— 第 5 部分 :密钥管理技术要求 。 本部分为 GM/T0035 的第 5 部分 。 本部分按照 GB/T1.1—2009 给出的规则起草 。 本部分由密码行业标准化技术委员会提出并归口 。 本部分起草单位 :兴唐通信科技有限公司 、上海华申智能卡应用系统有限公司 、北京中电华大电子 设计有限责任公司 、上海复旦微电子集团股份有限公司 、北京同方微电子有限公司 、复旦大学 、航天信息 股份有限公司 、上海华虹集成电路有限责任公司 、北京华大智宝电子系统有限公司 。 本部分主要起草人 :王俊峰 、董浩然 、陈跃 、顾震 、周建锁 、刘丽娜 、俞军 、吴行军 、王云松 、徐树民 、 谢文录 、梁少峰 、王俊宇 、柳逊 、王会波 。 Ⅲ 犌犕/犜0035.5—2014 射频识别系统密码应用技术要求 第 5部分 :密钥管理技术要求 1 范围 GM/T0035 的本部分规定了射频识别系统在采用密码机制时电子标签 、读写器及其通信相关的密 钥管理要求 。 附录 A 给出了一个射频识别系统密钥管理示例 。 本部分适用于指导射频识别系统密钥管理的设计 、实现和应用 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ,仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。 GM/T0035.1—2014 射频识别系统密码应用技术要求 第 1 部分 :密码安全保护框架及安全 级别 3 术语和定义 GM/T0035.1—2014 界定的术语和定义适用于本文件 。 4 符号和缩略语 GM/T0035.1—2014 界定的符号和缩略语适用于本文件 。 5 密钥体制 5.1 对称密钥体制 适用于电子标签与读写器之间的身份鉴别 、访问控制 、机密性及完整性的安全保护 。 按照射频识别 系统中对称密钥产生方式的要求不同 ,可以将对称密钥分为根密钥 、分散密钥和传输保护密钥等 ,密钥 类别及产生方式见表 1。 表 1 密钥类别与产生方式 密钥类别 根密钥 分散密钥 传输保护密钥 产生方式 由密钥生成系统通过随机数发生器生成 由根密钥经密钥分散因子分散产生 在电子标签与读写器进行信息传输前临时协商产生 ,用于信息传输的加密保护 其中 ,分散密钥由根密钥和 16 字节的密钥分散因子经符合国家密码管理主管部门指定的密码算法 运算产生 ,应保证分散密钥被泄露不会导致根密钥和其他分散密钥的泄露 。 分散密钥产生过程见图 1。 1 犌犕/犜0035.5—2014 图 1 分散密钥产生过程 密钥可以进行多级分散 ,每一级分散所选择的密钥分散因子应采用能够唯一标识该级内应用对象 (如厂商编号等 )的信息获得 。 该信息的长度应不大于 16 字节 、且不小于 4 字节 ;信息长度不足 16 字节 时 ,应在右边填 0x00 补齐 。 电子标签内仅存储最后一级的分散密钥 ,在进行最后一级密钥分散时 ,应以能够标识电子标签唯一 性的信息(如 UID)作为密钥分散因子 。 密钥应按用途使用 。 在同一级内 ,不同用途的密钥应由上一级不同的密钥分散产生 。 读写机具根据应用需要存储根密钥或某一级的分散密钥 ,但不应存储最后一级的分散密钥 。 5.2 非对称密钥体制 非对称密钥体制适用于电子标签和读写器之间业务行为涉及的抗抵赖 、身份鉴别 、访问控制 、机密 性及完整性的安全保护 。 非对称密钥管理的技术要求参见国家密码管理主管部门的相关标准 。 6 对称密钥管理模型 在射频识别系统中 ,对称密钥管理模型如图 2 所示 。 射频识别系统对称密钥管理模型包含了密钥生命周期中的密钥生成 、密钥分发 、密钥使用和密钥销 毁/注销的四个主要过程 。 按照 GM/T0035.1—2014 中所规定的标准适用范围 ,射频识别系统对称密钥管理模型包括了电子 标签和读写器等密码设备的密钥管理 。 图 2 射频识别系统对称密钥管理模型 图 2 中 ,密钥生成系统完成射频识别系统中密钥的生成和密钥的分散 ,密钥分发系统完成对电子标 2 犌犕/犜0035.5—2014 签和读写器的密钥分发与注入 ;密钥在安全密码设备中使用 ,安全密码设备包括读写器内安全存取模块 和电子标签 。 7 对称密钥管理通用要求 在系统中应有必要的安全保护措施 ,以达到保障密钥安全的要求 。 存储在电子标签内的对称密钥 ,不能被读出 。 存储在读写器内的对称密钥 ,应存储在安全存取模块内 ,且不能被读出 。 在密钥管理中的密钥生成 、存储 、分散 、分发 、注入 、备份 、恢复 、验证 、使用 、更新 、归档 、注销和销毁 等内容应符合国家密码管理主管部门的相关要求 。 8 对称密钥使用要求 8.1 身份鉴别 8.1.1 唯一标识符鉴别 电子标签需存储由电子标签唯一标识符以及与相关应用信息结合建立的验证码 ,读写器需存储产 生这一验证码的密钥 。 8.1.2 挑战响应鉴别 用于挑战响应鉴别的密钥必须具有唯一性 。 电子标签存储的用于挑战响应鉴别的密钥应由相应根密钥与电子标签 UID 分散产生 。 读写器应存储用于挑战响应鉴别的根密钥 ,并应能够通过读取电子标签 UID 分散产生与该电子标 签内存储的用于挑战响应鉴别的密钥一致的密钥 。 8.2 访问控制 用于访问控制的密钥必须具有唯一性 。 电子标签存储的用于访问控制的密钥应由相应根密钥与电子标签 UID 分散产生 ;对具有多个存储 区 ,且对存储区具有不同访问权限(读/写)控制的电子标签 ,应在电子标签内存储多个密钥分别用于不 同权限的访问控制 ,即不同的权限采用不同的密钥进行控制 。 根据对电子标签的访问权限 ,读写器应只存储用于相应权限访问控制的根密钥 ,并应能够通过读取 电子标签 UID 分散产生与该电子标签内存储的与访问权限相对应的密钥一致的密钥 。 8.3 机密性 8.3.1 存储加密 信息的存储加密应设置存储加密密钥 ,对自身存储数据的加密密钥应由随机数发生器产生 ,并在密 码设备内安全存储 ,不能导出 。 8.3.2 传输加密 传输加密密钥用于电子标签与读写器之间进行数据传输时的加密保护 。 用于传输保护的加密密钥 ,可以是存储在电子标签和读写器内的固定密钥 ;也可以由电子标签与读 3 犌犕/犜0035.5—2014 写器在进行数据传输前临时协商产生 ,在通信完成后 ,废弃该密钥 。 8.4 完整性 用于存储完整性保护的密钥的使用要求同 8.3.1 中的存储加密要求 。 用于传输完整性保护的密钥的使用要求同 8.3.2 中的传输加密要求 。 4 犌犕/犜0035.5—2014 附 录 犃 (资料性附录 ) 射频识别系统的密钥管理示例 本附录描述了一个密钥管理示例
GM/T 0035.5-2014 射频识别系统密码应用技术要求 第5部分:密钥管理技术要求
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-14 08:55:42上传分享