1 范圍

      GB/T 37033的本部分規(guī)定了射頻識(shí)別系統(tǒng)在采用密碼機(jī)制時(shí)電子標(biāo)簽、讀寫器及其通信相關(guān)的密鑰管理要求。

      本部分適用于射頻識(shí)別系統(tǒng)密鑰管理的設(shè)計(jì)、實(shí)現(xiàn)、測評(píng)和應(yīng)用。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 37033.1-2018 信息安全技術(shù) 射頻識(shí)別系統(tǒng)密碼應(yīng)用技術(shù)要求 第1部分：密碼安全保護(hù)框架及安全級(jí)別

3 術(shù)語和定義

      GB/T 37033.1-2018中界定的以及下列術(shù)語和定義適用于本文件。

3.1

      安全密碼設(shè)備 secure cryptographic device

      為諸如密鑰這樣的秘密信息提供安全存儲(chǔ)，以及基于這些秘密信息提供安全服務(wù)的設(shè)備。

3.2

      密鑰分割 split knowledge

      兩個(gè)或更多的實(shí)體分別地?fù)碛忻荑€片段，僅通過單個(gè)密鑰片段不能合成密鑰信息。

3.3

      密鑰組件 key component

      至少兩個(gè)隨機(jī)或偽隨機(jī)過程產(chǎn)生的參數(shù)中的一個(gè)，它們能與一個(gè)或多個(gè)其他參數(shù)結(jié)合形成一個(gè)密鑰。

3.4

      雙重控制 dual control

      利用兩個(gè)或更多的獨(dú)立實(shí)體（通常是人），協(xié)同操作以保護(hù)敏感功能和信息的過程。注：單獨(dú)的實(shí)體不能存取和使用這些功能或信息（例如密鑰）。

4 符號(hào)和縮略語

      下列符號(hào)和縮略語適用于本文件。

      CA：證書認(rèn)證機(jī)構(gòu)（Certification Authority）

      Enc（X，K）：加密運(yùn)算符，用密鑰K對(duì)X進(jìn)行加密運(yùn)算

      SAM：安全存取模塊（Secure Access Module）

      SM1：SM1算法（SM1algorithm）

      SM2：SM2算法（SM2algorithm）

      SM3：SM3算法（SM3algorithm）

      SM4：SM4算法（SM4algorithm）

      SM7：SM7算法（SM7algorithm）

      UID：唯一標(biāo)識(shí)符（Unique IDentifier）

5 概述

      射頻識(shí)別系統(tǒng)密鑰管理涉及密鑰生成、密鑰分發(fā)、密鑰傳輸、密鑰使用和密鑰銷毀等要素，如圖1所示。

圖1 射頻識(shí)別系統(tǒng)電子標(biāo)簽與讀寫器及其通信密鑰管理示意圖

      射頻識(shí)別系統(tǒng)的密鑰管理采用對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制適用于電子標(biāo)簽與讀寫器之間的身份鑒別、訪問控制、機(jī)密性及完整性的安全保護(hù)。非對(duì)稱密碼體制適用于電子標(biāo)簽和讀寫器之間業(yè)務(wù)行為涉及的抗抵賴、身份鑒別、完整性及機(jī)密性的安全保護(hù)。

      附錄A給出了一個(gè)射頻識(shí)別系統(tǒng)的密鑰管理示例。

6 密鑰管理模型

6.1 對(duì)稱密鑰管理模型

      在射頻識(shí)別系統(tǒng)中，對(duì)稱密鑰管理模型如圖2所示。

      射頻識(shí)別系統(tǒng)對(duì)稱密鑰管理模型包含了密鑰生命周期中的密鑰生成、密鑰分發(fā)、密鑰使用和密鑰銷毀4個(gè)主要過程。

      按照GB/T 37033.1-2018中所規(guī)定的標(biāo)準(zhǔn)適用范圍，射頻識(shí)別系統(tǒng)對(duì)稱密鑰管理模型包括了電子標(biāo)簽和讀寫器等密碼設(shè)備的密鑰管理。

圖2 射頻識(shí)別系統(tǒng)對(duì)稱密鑰管理模型

      圖2中，密鑰生成系統(tǒng)完成射頻識(shí)別系統(tǒng)中密鑰的生成和密鑰的分散，密鑰分發(fā)系統(tǒng)完成對(duì)電子標(biāo)簽和讀寫器的密鑰分發(fā)與注入；密鑰在安全密碼設(shè)備中使用，安全密碼設(shè)備包括讀寫器SAM和電子標(biāo)簽。

      通過對(duì)稱密碼體制可進(jìn)行鑒別服務(wù)和加密服務(wù)。鑒別服務(wù)包括身份鑒別、訪問控制、數(shù)據(jù)完整性保護(hù)等。加密服務(wù)用于對(duì)信息進(jìn)行加解密等機(jī)密性保護(hù)。

      當(dāng)密鑰不再需要時(shí)，應(yīng)將其銷毀，在銷毀之后將不再有任何信息可用來恢復(fù)已銷毀的密鑰。

6.2 非對(duì)稱密鑰管理模型

      在射頻識(shí)別系統(tǒng)中，非對(duì)稱密鑰管理的基本模型如圖3所示。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。