1、书 书 书犐 犆犛 犔 备案号:中华人民共和国密码行业标准犌犕犜 射频识别系统密码应用技术要求第部分:密钥管理技术要求犛 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀 狊狅 犳犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀犳 狅 狉犚犉 犐 犇狊 狔 狊 狋 犲犿狊犘 犪 狉 狋:犛 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀犳 狅 狉犽 犲 狔犿犪 狀 犪 犵 犲犿犲 狀 狋 发布 实施国家密码管理局发 布书 书 书目次前言范围规范性引用文件术语和定义符号和缩略语密钥体制 对称密钥体制 非对称密钥体制对称密钥管理模型对称密钥管理通用要求对称
2、密钥使用要求 身份鉴别 访问控制 机密性 完整性附录(资料性附录)射频识别系统的密钥管理示例犌犕犜 前言 射频识别系统密码应用技术要求分为五个部分:第部分:密码安全保护框架及安全级别;第部分:电子标签芯片密码应用技术要求;第部分:读写器密码应用技术要求;第部分:电子标签与读写器通信密码应用技术要求;第部分:密钥管理技术要求。本部分为 的第部分。本部分按照 给出的规则起草。本部分由密码行业标准化技术委员会提出并归口。本部分起草单位:兴唐通信科技有限公司、上海华申智能卡应用系统有限公司、北京中电华大电子设计有限责任公司、上海复旦微电子集团股份有限公司、北京同方微电子有限公司、复旦大学、航天信息股份
3、有限公司、上海华虹集成电路有限责任公司、北京华大智宝电子系统有限公司。本部分主要起草人:王俊峰、董浩然、陈跃、顾震、周建锁、刘丽娜、俞军、吴行军、王云松、徐树民、谢文录、梁少峰、王俊宇、柳逊、王会波。犌犕犜 射频识别系统密码应用技术要求第部分:密钥管理技术要求范围 的本部分规定了射频识别系统在采用密码机制时电子标签、读写器及其通信相关的密钥管理要求。附录给出了一个射频识别系统密钥管理示例。本部分适用于指导射频识别系统密钥管理的设计、实现和应用。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改
4、单)适用于本文件。射频识别系统密码应用技术要求第部分:密码安全保护框架及安全级别术语和定义 界定的术语和定义适用于本文件。符号和缩略语 界定的符号和缩略语适用于本文件。密钥体制 对称密钥体制适用于电子标签与读写器之间的身份鉴别、访问控制、机密性及完整性的安全保护。按照射频识别系统中对称密钥产生方式的要求不同,可以将对称密钥分为根密钥、分散密钥和传输保护密钥等,密钥类别及产生方式见表。表密钥类别与产生方式密钥类别产生方式根密钥由密钥生成系统通过随机数发生器生成分散密钥由根密钥经密钥分散因子分散产生传输保护密钥在电子标签与读写器进行信息传输前临时协商产生,用于信息传输的加密保护其中,分散密钥由根密
5、钥和 字节的密钥分散因子经符合国家密码管理主管部门指定的密码算法运算产生,应保证分散密钥被泄露不会导致根密钥和其他分散密钥的泄露。分散密钥产生过程见图。犌犕犜 图分散密钥产生过程密钥可以进行多级分散,每一级分散所选择的密钥分散因子应采用能够唯一标识该级内应用对象(如厂商编号等)的信息获得。该信息的长度应不大于 字节、且不小于字节;信息长度不足 字节时,应在右边填 补齐。电子标签内仅存储最后一级的分散密钥,在进行最后一级密钥分散时,应以能够标识电子标签唯一性的信息(如)作为密钥分散因子。密钥应按用途使用。在同一级内,不同用途的密钥应由上一级不同的密钥分散产生。读写机具根据应用需要存储根密钥或某一
6、级的分散密钥,但不应存储最后一级的分散密钥。非对称密钥体制非对称密钥体制适用于电子标签和读写器之间业务行为涉及的抗抵赖、身份鉴别、访问控制、机密性及完整性的安全保护。非对称密钥管理的技术要求参见国家密码管理主管部门的相关标准。对称密钥管理模型在射频识别系统中,对称密钥管理模型如图所示。射频识别系统对称密钥管理模型包含了密钥生命周期中的密钥生成、密钥分发、密钥使用和密钥销毁注销的四个主要过程。按照 中所规定的标准适用范围,射频识别系统对称密钥管理模型包括了电子标签和读写器等密码设备的密钥管理。图射频识别系统对称密钥管理模型图中,密钥生成系统完成射频识别系统中密钥的生成和密钥的分散,密钥分发系统完成对电子标犌犕犜 签和读写器的密钥分发与注入;密钥在安全密码设备中使用,安全密码设备包括读写器内安全存取模块和电子标签。对称密钥管理通用要求在系统中应有必要的安全保护措施,以达到保障密钥安全的要求。存储在电子标签内的对称密钥,不能被读出。存储在读写器内的对称密钥,应存储在安全存取模块内,且不能被读出。在密钥管理中的密钥生成、存储、分散、分发、注入、备份、恢复、验证、使用、更新、归档、注销和销毁等内
安全达人 