GB/T 27909.1-2011銀行業(yè)務密鑰管理(零售)第1部分：一般原則

ICS3524040

A11..

中華人民共和國國家標準

GB/T279091—2011

.

銀行業(yè)務密鑰管理零售

()

第1部分一般原則

:

Bankin—Kemanaementretail—

gyg()

Part1Princiles

:p

(ISO11568-1:2005,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T279091—2011

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

密鑰管理

4…………………3

安全目標

4.1……………3

安全級別

4.2……………3

密鑰管理目標

4.3………………………3

密鑰管理原則

5……………3

密碼系統(tǒng)

6…………………4

概要

6.1…………………4

密碼系統(tǒng)

6.2……………4

對稱密碼系統(tǒng)

6.3………………………4

非對稱密碼系統(tǒng)

6.4……………………4

其他密碼系統(tǒng)

6.5………………………5

密碼環(huán)境的物理安全

7……………………5

物理安全性考慮

7.1……………………5

安全密碼設備

7.2………………………5

物理安全環(huán)境

7.3………………………5

安全性考慮

8………………6

秘密密鑰私鑰的密碼環(huán)境

8.1/…………6

公鑰的密碼環(huán)境

8.2……………………6

防止假冒設備

8.3………………………6

密碼系統(tǒng)的密鑰管理服務

9………………6

概述

9.1…………………6

密鑰分離

9.2……………6

防止替換

9.3……………6

識別

9.4…………………6

同步可用性

9.5()………………………6

完整性

9.6………………6

機密性

9.7………………7

泄露檢測

9.8……………7

密鑰生命周期

10……………7

概要

10.1…………………7

密鑰生命周期的一般要求

10.2…………7

Ⅰ

GB/T279091—2011

.

非對稱密碼系統(tǒng)的附加要求

10.3………………………8

附錄資料性附錄零售金融服務環(huán)境的實例

A()………9

附錄資料性附錄零售金融服務環(huán)境中的威脅實例

B()………………10

參考文獻

……………………12

Ⅱ

GB/T279091—2011

.

前言

銀行業(yè)務密鑰管理零售分為以下幾個部分

GB/T27909《()》:

第部分一般原則

———1:;

第部分對稱密碼及其密鑰管理和生命周期

———2:;

第部分非對稱密碼系統(tǒng)及其密鑰管理和生命周期

———3:。

本部分是的第部分

GB/T279091。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分修改采用國際標準銀行業(yè)務密鑰管理零售第部分一般原則

ISO11568-1:2005《()1:》

英文版

()。

在采用時做了以下修改

ISO11568-1:

刪除了附錄密碼算法的核準程序在第章中說明用于密鑰管理的密碼算法應

“ISO11568-1A”,1

符合國家密碼管理部門的有關規(guī)定

。

本部分還做了下列編輯性修改

:

對規(guī)范性引用文件中所引用的國際標準有相應國家標準的改為引用國家標準

a),;

刪除前言

b)ISO。

本部分由中國人民銀行提出

。

本部分由全國金融標準化技術委員會歸口

(SAC/TC180)。

本部分負責起草單位中國金融電子化公司

:。

本部分參加起草單位中國人民銀行中國工商銀行中國農(nóng)業(yè)銀行中國銀行交通銀行中國光大

:、、、、、

銀行中國銀聯(lián)股份有限公司

、。

本部分主要起草人王平娃陸書春李曙光趙志蘭周亦鵬趙宏鑫程貫中劉瑤喻國棟楊增宇

:、、、、、、、、、、

黃發(fā)國

。

Ⅲ

GB/T279091—2011

.

引言

描述了在零售金融服務環(huán)境下的密鑰安全管理過程這些密鑰用于保護諸如收單方

GB/T27909,

和受理方之間收單方和發(fā)卡方之間的報文

,。

本部分描述了在零售金融服務領域內(nèi)適用的密鑰管理要求典型的服務類型有銷售點服務點

,/

借貸記授權和自動柜員機交易

(POS)(ATM)。

密鑰管理是為授權通信方提供密鑰且在密鑰被銷毀之前使密鑰持續(xù)處于安全流程控制下的

,,

過程

。

數(shù)據(jù)的安全性依賴于防止密鑰的泄露以及未授權的修改替換插入或終止因而密鑰管理涉及到

、、,,

密鑰的生成存儲分發(fā)使用和銷毀各個程序通過對這些程序的規(guī)范化也為制定審計追蹤規(guī)范奠定

、、、。,

了基礎

。

本部分沒有提供區(qū)分使用同一密鑰的實體的方法密鑰管理過程的最終細則需要由有關的通信方

。

協(xié)商決定并應就個體的身份及其職責達成協(xié)議通信方要對此細則承擔相應的職責本

,,。GB/T27909

身沒有涉及個體職責的分配這是密鑰管理在具體實施中需要考慮的

,。

Ⅳ

GB/T279091—2011

.

銀行業(yè)務密鑰管理零售

()

第1部分一般原則

:

1范圍

本部分規(guī)定了在零售金融服務環(huán)境中實施的密碼系統(tǒng)應遵循的密鑰管理原則本部分的零售金融

。

服務環(huán)境指下述實體間的接口

:

卡受理設備與收單方

———;

收單方與發(fā)卡方

———;

集成電路卡與卡受理設備之間

———(ICC)。

附錄描述了該環(huán)境的一個實例附錄闡述了本部分在實施時所受到的相關威脅

A,B。

本部分可同時適用于對稱密碼系統(tǒng)中的密鑰及非對稱密碼系統(tǒng)中的私鑰和公鑰在對稱密碼系統(tǒng)

。

中發(fā)送方和接受方使用相同的密鑰用于密鑰管理的密碼算法應符合國家密碼管理部門的有關規(guī)定

,。。

密碼的使用除了涉及密鑰外通常還涉及控制信息例如初始化向量密鑰標識符這些信息統(tǒng)稱

,,,、。

為密鑰要素雖然本部分專門描述的是密鑰的管理但是它的原則服務和技術也適用于密鑰要素

“”。,、。

本部分適用于金融機構和零售金融服務領域的其他組織在這些領域中信息交換要求具有機密

。,

性完整性或真實性零售金融服務包括但并不限于諸如借貸記授權自動售貨機和自動柜員機

、。POS、

交易等服務

(ATM)。

在和標準中分別描述了零售金融交易中個人識別碼的加密以及在報

ISO9564ISO16609,(PIN)

文鑒別時所使用的密碼操作也適用于對這些標準所引入的密鑰的管理此外密鑰管

。GB/T27909。,

理過程自身也需要引入更深一層次的密鑰例