ICS35040

L80.

中華人民共和國國家標準

GB/T179011—2020

代替.

GB/T17901.1—1999

信息技術安全技術密鑰管理

第1部分框架

:

Informationtechnology—Securitytechniques—Keymanagement—

Part1Framework

:

(ISO/IEC11770-1:2010,MOD)

2020-03-06發布2020-10-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T179011—2020

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

符號和縮略語

4……………3

符號

4.1…………………3

縮略語

4.2………………3

密鑰管理的一般模型

5……………………4

概述

5.1…………………4

密鑰保護

5.2……………4

密鑰生存周期的一般模型

5.3…………5

密鑰管理的基本內容

6……………………6

密鑰管理服務

6.1………………………6

支持服務

6.2……………9

兩實體間密鑰分發的概念模型

7…………10

密鑰分發概述

7.1………………………10

通信實體間的密鑰分發

7.2……………10

單域密鑰分發

7.3………………………10

域間的密鑰分發

7.4……………………12

特定服務的提供者

8………………………13

附錄資料性附錄密鑰管理面臨的安全威脅

A()………14

附錄資料性附錄密碼應用分類

B()……………………15

附錄資料性附錄密鑰管理信息對象

C()………………17

參考文獻

……………………18

Ⅰ

GB/T179011—2020

.

前言

信息技術安全技術密鑰管理擬分為個部分

GB/T17901《》6:

第部分框架

———1:;

第部分采用對稱技術的機制

———2:;

第部分采用非對稱技術的機制

———3:;

第部分基于弱秘密的機制

———4:;

第部分群組密鑰管理

———5:;

第部分密鑰派生

———6:。

本部分為的第部分

GB/T179011。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分代替信息技術安全技術密鑰管理第部分框架與

GB/T17901.1—1999《1:》,

相比主要技術變化如下

GB/T17901.1—1999,:

在規范性引用文件中增加了新的引用文件見第章

———(2);

刪除了解密加密密鑰確認密鑰控制密鑰分發中心密鑰材料密鑰管理密鑰轉

———“、、、、(KDC)、、、

換中心公開密鑰信息隨機數順序號的術語和定義增加了雜湊函數密鑰派生函

(KTC)、、、”,“、

數密鑰建立密鑰權標消息鑒別碼簽名系統的術語和定義見第章年版的第

、、、、”(3,19993

章

);

增加了第章符號和縮略語見第章

———4“”(4);

將年版的第章密鑰管理綜述修改為第章密鑰管理的一般模型刪除了年

———19994“”5“”,1999

版的增加了并對部分內容進行了修改見第章年版的第章

4.1.2,5.1、5.3.1,(5,19994);

將年版的第章密鑰分發概念模型修改為第章兩實體間密鑰分發的概念模型增

———19996“”7“”,

加了并對部分內容進行了修改見第章年版的第章

7.1,(7,19996);

刪除了年版的附錄相關內容與現有國家標準和密碼行業標準保持一致

———1999D,。

本部分使用重新起草法修改采用信息技術安全技術密鑰管理第

ISO/IEC11770-1:2010《1

部分框架

:》。

本部分與相比在結構上有調整增加了第章后續條款號依次改變調整

ISO/IEC11770-1:2010,2,,

為和調整附錄為附錄附錄為附錄

4.2.3~4.2.55.2.2、5.2.3.15.2.3.2,BC,CB。

本部分與的技術性差異及其原因如下

ISO/IEC11770-1:2010:

增加了第章規范性引用文件見第章

———2(2);

刪除了部分術語和定義見的第章

———(ISO/IEC11770-1:20102);

刪除了和的符號見的

———“CA”“RA”(ISO/IEC11770-1:20103.1);

在第章明確了應采用國家密碼管理部門認可的密碼算法并將所

———5“”,ISO/IEC11770-1:2010

引用的密碼算法標準修改為引用我國對應的密碼算法標準以便于使用見第章

,(5)。

本部分還做了下列編輯性修改

:

刪除的資料性附錄相關內容與現有國家標準和密碼行業標準保持

———ISO/IEC11770-1:2010D,

一致

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位西安西電捷通無線網絡通信股份有限公司無線網絡安全技術國家工程實驗室

:、、

Ⅲ

GB/T179011—2020

.

中關村無線網絡安全產業聯盟國家密碼管理局商用密碼檢測中心北京大學深圳研究生院中國電子

、、、

科技集團公司第三十研究所國家無線電監測中心檢測中心中國電子技術標準化研究院中國通用技

、、、

術研究院中國網絡安全審查技術與認證中心天津市無線電監測站北京計算機技術及應用研究所天

、、、、

津市電子機電產品檢測中心重慶郵電大學

、。

本部分主要起草人杜志強李琴郎元朱躍生劉科偉周國良陶洪波王月輝鐵滿霞張變玲

:、、、、、、、、、、

彭瀟李冰許玉娜黃振海布寧張璐璐于光明顏湘張國強劉景莉李冬商鈞趙慧王瑩

、、、、、、、、、、、、、、

朱正美高德龍鄭驪熊克琦黃奎剛龍昭華吳冬宇

、、、、、、。

本部分所代替標準的歷次版本發布情況為

:

———GB/T17901.1—1999。

Ⅳ

GB/T179011—2020

.

引言

在信息技術中采用密碼機制保護數據不被非法竊取或篡改實現實體鑒別和抗抵賴的需求與日俱

,、

增這些機制的安全性和可靠性直接取決于對密鑰的管理和保護如果密鑰管理有薄弱環節那么將

。。,

使其聲稱的密碼功能都失效因此安全管理密鑰對于將密碼功能集成到系統中至關重要密鑰管理的

,。

目的是提供用于對稱或非對稱密碼機制中的密鑰處理程序

。

本部分修改采用信息技術安全技術密鑰管理第部分框架適

ISO/IEC11770-1:2010《1:》,

用于對通信密鑰的管理定義了密鑰管理的一般模型它不依賴使用的特定密碼算法

。ISO/IEC11770,。

但是某些密鑰分發機制取決于特定算法的特性例如非對稱算法特性

,。

如果密鑰管理中需要使用抗抵賴功能參見

,GB/T17903。

本部分描述了自動和人工兩種密鑰管理方法包括數據元素框架以及用于獲取密鑰管理服務的操

,

作流程但對協議交換所需的細節不作詳細說明

,。

同其他安全服務一樣密鑰管理只在所定義的安全策略中提供密鑰管理服務但安全策略的定義超

,,

出本部分的范圍

。

密鑰管理的根本問題是要參與各方確認密鑰材料向直接和間接用戶保證其來源完整性即時性

,、、

以及秘密密鑰情形下保密性密鑰管理包括根據某一安全策略生成存儲分發刪除和歸檔密鑰

()。、、、

等功能

(GB/T9387.2—1995)。

Ⅴ

GB/T179011—2020

.

信息技術安全技術密鑰管理

第1部分框架

:

1范圍

的本部分包含以下內容

GB/T17901:

建立密鑰管理機制的通用模型

a);

定義對通用的密鑰管理的基本概念

b)GB/T17901;

定義密鑰管理服務的特征

c);

規定對密鑰在其生存周期內進行管理的通用原則

d);

建立通信密鑰分發的概念模型

e)。

本部分適用于建立密鑰管理模型和設計密鑰管理方法

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分信息技術安全技術實體鑒別所有部分

GB/T15843()[ISO/IEC9798()]

信息技術安全技術抗抵賴第部分采用對稱技術的機制

GB/T17903.22:(GB/T17903.2—

2008,ISO/IEC13888-2:1998,IDT)

信息技術開放系統互連開放系統安全框架