1 范圍

      GB/T 37033的本部分規(guī)定了射頻識別系統(tǒng)在采用密碼機制時電子標簽、讀寫器及其通信相關的密鑰管理要求。

      本部分適用于射頻識別系統(tǒng)密鑰管理的設計、實現(xiàn)、測評和應用。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 37033.1-2018 信息安全技術 射頻識別系統(tǒng)密碼應用技術要求 第1部分：密碼安全保護框架及安全級別

3 術語和定義

      GB/T 37033.1-2018中界定的以及下列術語和定義適用于本文件。

3.1

      安全密碼設備 secure cryptographic device

      為諸如密鑰這樣的秘密信息提供安全存儲，以及基于這些秘密信息提供安全服務的設備。

3.2

      密鑰分割 split knowledge

      兩個或更多的實體分別地擁有密鑰片段，僅通過單個密鑰片段不能合成密鑰信息。

3.3

      密鑰組件 key component

      至少兩個隨機或偽隨機過程產(chǎn)生的參數(shù)中的一個，它們能與一個或多個其他參數(shù)結(jié)合形成一個密鑰。

3.4

      雙重控制 dual control

      利用兩個或更多的獨立實體（通常是人），協(xié)同操作以保護敏感功能和信息的過程。注：單獨的實體不能存取和使用這些功能或信息（例如密鑰）。

4 符號和縮略語

      下列符號和縮略語適用于本文件。

      CA：證書認證機構(gòu)（Certification Authority）

      Enc（X，K）：加密運算符，用密鑰K對X進行加密運算

      SAM：安全存取模塊（Secure Access Module）

      SM1：SM1算法（SM1algorithm）

      SM2：SM2算法（SM2algorithm）

      SM3：SM3算法（SM3algorithm）

      SM4：SM4算法（SM4algorithm）

      SM7：SM7算法（SM7algorithm）

      UID：唯一標識符（Unique IDentifier）

5 概述

      射頻識別系統(tǒng)密鑰管理涉及密鑰生成、密鑰分發(fā)、密鑰傳輸、密鑰使用和密鑰銷毀等要素，如圖1所示。

圖1 射頻識別系統(tǒng)電子標簽與讀寫器及其通信密鑰管理示意圖

      射頻識別系統(tǒng)的密鑰管理采用對稱密碼體制和非對稱密碼體制。對稱密碼體制適用于電子標簽與讀寫器之間的身份鑒別、訪問控制、機密性及完整性的安全保護。非對稱密碼體制適用于電子標簽和讀寫器之間業(yè)務行為涉及的抗抵賴、身份鑒別、完整性及機密性的安全保護。

      附錄A給出了一個射頻識別系統(tǒng)的密鑰管理示例。

6 密鑰管理模型

6.1 對稱密鑰管理模型

      在射頻識別系統(tǒng)中，對稱密鑰管理模型如圖2所示。

      射頻識別系統(tǒng)對稱密鑰管理模型包含了密鑰生命周期中的密鑰生成、密鑰分發(fā)、密鑰使用和密鑰銷毀4個主要過程。

      按照GB/T 37033.1-2018中所規(guī)定的標準適用范圍，射頻識別系統(tǒng)對稱密鑰管理模型包括了電子標簽和讀寫器等密碼設備的密鑰管理。

圖2 射頻識別系統(tǒng)對稱密鑰管理模型

      圖2中，密鑰生成系統(tǒng)完成射頻識別系統(tǒng)中密鑰的生成和密鑰的分散，密鑰分發(fā)系統(tǒng)完成對電子標簽和讀寫器的密鑰分發(fā)與注入；密鑰在安全密碼設備中使用，安全密碼設備包括讀寫器SAM和電子標簽。

      通過對稱密碼體制可進行鑒別服務和加密服務。鑒別服務包括身份鑒別、訪問控制、數(shù)據(jù)完整性保護等。加密服務用于對信息進行加解密等機密性保護。

      當密鑰不再需要時，應將其銷毀，在銷毀之后將不再有任何信息可用來恢復已銷毀的密鑰。

6.2 非對稱密鑰管理模型

      在射頻識別系統(tǒng)中，非對稱密鑰管理的基本模型如圖3所示。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權(quán)網(wǎng)站購買標準正版。