| 标准编号 | GB/T 27909.3-2011 (GB/T27909.3-2011) | | 中文名称 | 银行业务 密钥管理(零售) 第3部分:非对称密码系统及其密钥管理和生命周期 | | 英文名称 | Banking -- Key management (retail) -- Part 3: Asymmetric cryptosystems -- Key management and life cycle | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 35.240.40 | | 字数估计 | 22,211 | | 发布日期 | 2011-12-30 | | 实施日期 | 2012-02-01 | | 引用标准 | GB/T 27909.1; GB/T 27909.2; GB/T 17964-2000; GB/T 20547.2; GB/T 21078.1; GB/T 21079.1; ISO/IEC 9796-2-2002; ISO/IEC 10118-1; ISO/IEC 10118-2; ISO/IEC 10118-3; ISO/IEC 10118-4; ISO/IEC 11770-3; ISO/IEC 14888-3; ISO 15782-1-2003; ISO/IEC 15946-3-2002; ISO 16609-2004; ISO/I | | 采用标准 | ISO 11568-4-2007, MOD | | 标准依据 | 国家标准批准发布公告2011年第23号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本部分规定了零售金融服务环境中使用非对称密码机制时, 对称和非对称密钥的保护技术, 也描述了与非对称密钥相关的生命周期管理。本部分适用于技术符合GB/T 27909.1中描述的原则。本部分的零售金融服务环境仅限于下述实体之间的接口:-卡受理设备与收单方;-收单方与发卡方;-集成电路卡(ICC)与卡受理设备。 | GB/T 27909.3-2011
Banking.Key management (retail).Part 3: Asymmetric cryptosystems.Key management and life cycle
ICS 35.240.40
A11
中华人民共和国国家标准
银行业务 密钥管理(零售)
第3部分:非对称密码系统及其
密钥管理和生命周期
(ISO 11568-4:2007,MOD)
2011-12-30发布
2012-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 零售金融服务系统中非对称密码系统的使用 3
4.1 概述 3
4.2 对称密钥的建立和存储 3
4.3 非对称公钥的存储和分发 3
4.4 非对称私钥的存储和传输 3
5 提供密钥管理服务的技术 4
5.1 概述 4
5.2 密钥加密 4
5.3 公钥认证 5
5.4 密钥分离技术 5
5.5 密钥验证 6
5.6 密钥完整性技术 6
6 非对称密钥生命周期 7
6.1 密钥生命周期的各个阶段 7
6.2 密钥生命周期---生成阶段 7
6.3 密钥存储 10
6.4 公钥的分发 12
6.5 非对称密钥对的传输 12
6.6 使用前的真实性 14
6.7 使用 14
6.8 公钥的撤销 14
6.9 更换 14
6.10 公钥失效 15
6.11 私钥的销毁 15
6.12 私钥的删除 15
6.13 公钥的归档 15
6.14 私钥的终止 15
6.15 擦除概要 16
6.16 可选的生命周期过程 16
参考文献 17
前言
GB/T 27909《银行业务 密钥管理(零售)》分为以下3个部分:
---第1部分:一般原则;
---第2部分:对称密码及其密钥管理和生命周期;
---第3部分:非对称密码系统及其密钥管理和生命周期。
本部分是GB/T 27909的第3部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分修改采用国际标准ISO 11568-4:2005《银行业务 密钥管理(零售) 第4部分:非对称密码
系统及其密钥管理和生命周期》(英文版)。
在采用ISO 11568-4时做了以下修改:
---删除了“ISO 11568-4附录A核准的算法”。
本部分还做了下列编辑性修改:
a) 对规范性引用文件中所引用的国际标准,有相应国家标准的,改为引用国家标准;
b) 删除ISO 前言。
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会(SAC/TC180)归口。
本部分负责起草单位:中国金融电子化公司。
本部分参加起草单位:中国人民银行、中国工商银行、中国农业银行、中国银行、交通银行、中国光大
银行、中国银联股份有限公司。
本部分主要起草人:王平娃、陆书春、李曙光、赵志兰、周亦鹏、赵宏鑫、程贯中、刘瑶、喻国栋、
杨增宇、黄发国。
引 言
GB/T 27909描述了在零售金融服务环境下密钥的安全管理过程,这些密钥用于保护诸如收单方
和受理方之间,收单方和发卡方之间的报文。
本部分描述了在零售金融服务领域内适用的密钥管理要求,典型的服务类型有销售点/服务点
(POS)借贷记授权和自动柜员机(ATM)交易。
GB/T 27909各部分描述的密钥管理技术结合使用时,可提供GB/T 27909.1中描述的密钥管理
服务。
这些服务包括:
---密钥分离;
---防止密钥替换;
---密钥鉴别;
---密钥同步;
---密钥完整性;
---密钥机密性;
---密钥泄露的检测。
本部分描述了使用非对称密码机制时,密钥安全管理中涉及的密钥生命周期。依据标准第1部分
和本部分描述的密钥管理原则、服务和技术,本部分还规定了密钥生命期内各个阶段的要求和实现方
法。本部分不涉及对称密码机制的密钥管理或生命周期,该方面的内容见GB/T 27909.2。
本部分是 GB/T 27909、GB/T 21078.1、GB/T 20547、ISO 9564-2、ISO 9564-3、ISO 9564-4、
ISO/T R19038等描述金融服务领域安全要求的标准之一。
银行业务 密钥管理(零售)
第3部分:非对称密码系统及其
密钥管理和生命周期
1 范围
本部分规定了零售金融服务环境中使用非对称密码机制时,对称和非对称密钥的保护技术,也描述
了与非对称密钥相关的生命周期管理。本部分适用于技术符合GB/T 27909.1中描述的原则。
本部分的零售金融服务环境仅限于下述实体之间的接口:
---卡受理设备与收单方;
---收单方与发卡方;
---集成电路卡(ICC)与卡受理设备。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 27909.1 银行业务 密钥管理(零售) 第1部分:一般原则(GB/T 27909.1-2011,
ISO 11568-1:2005,MOD)
GB/T 27909.2 银行业务 密钥管理(零售) 第2部分:对称密码及其密钥管理和生命周期
(GB/T 27909.2-2011,ISO 11568-2:2005,MOD)
GB/T 17964-2000 信息安全技术 分组密码算法的工作模式(ISO/IEC 10116:1997,IDT)
GB/T 20547.2 银行业务 安全加密设备(零售) 第2部分:金融交易中设备安全符合性检测清
单(GB/T 20547.2-2006,ISO 13491-2:2005,MOD)
GB/T 21078.1 银行业务 个人识别码的管理与安全 第1部分:ATM和POS系统中联机PIN
处理的基本原则和要求(GB/T 21078.1-2007,ISO 9564-1:2002,MOD)
GB/T 21079.1 银 行 业 务 安 全 加 密 设 备(零 售) 第1部分:概念、要求和评估方法
(GB/T 21079.1-2007,ISO 13491-1:1998,MOD)
ISO/IEC 9796-2:2002 信息技术 安全技术 实现报文恢复的数字签名方案
ISO/IEC 10118(所有部分) 信息技术 安全技术 哈希函数
ISO/IEC 11770-3 信息技术 安全技术 密钥管理 第3部分:使用非对称技术的机制
ISO/IEC 14888-3 信息技术 安全技术 带附录的签名 第3部分:基于离散对数的机制
ISO 15782-1:2003 银行业务 ......
|