GB/T 17901.1-2020信息技术安全技术密钥管理第1部分：框架

ICS35040

L80.

中华人民共和国国家标准

GB/T179011—2020

代替.

GB/T17901.1—1999

信息技术安全技术密钥管理

第1部分框架

:

Informationtechnology—Securitytechniques—Keymanagement—

Part1Framework

:

(ISO/IEC11770-1:2010,MOD)

2020-03-06发布2020-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T179011—2020

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

符号和缩略语

4……………3

符号

4.1…………………3

缩略语

4.2………………3

密钥管理的一般模型

5……………………4

概述

5.1…………………4

密钥保护

5.2……………4

密钥生存周期的一般模型

5.3…………5

密钥管理的基本内容

6……………………6

密钥管理服务

6.1………………………6

支持服务

6.2……………9

两实体间密钥分发的概念模型

7…………10

密钥分发概述

7.1………………………10

通信实体间的密钥分发

7.2……………10

单域密钥分发

7.3………………………10

域间的密钥分发

7.4……………………12

特定服务的提供者

8………………………13

附录资料性附录密钥管理面临的安全威胁

A()………14

附录资料性附录密码应用分类

B()……………………15

附录资料性附录密钥管理信息对象

C()………………17

参考文献

……………………18

Ⅰ

GB/T179011—2020

.

前言

信息技术安全技术密钥管理拟分为个部分

GB/T17901《》6:

第部分框架

———1:;

第部分采用对称技术的机制

———2:;

第部分采用非对称技术的机制

———3:;

第部分基于弱秘密的机制

———4:;

第部分群组密钥管理

———5:;

第部分密钥派生

———6:。

本部分为的第部分

GB/T179011。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替信息技术安全技术密钥管理第部分框架与

GB/T17901.1—1999《1:》,

相比主要技术变化如下

GB/T17901.1—1999,:

在规范性引用文件中增加了新的引用文件见第章

———(2);

删除了解密加密密钥确认密钥控制密钥分发中心密钥材料密钥管理密钥转

———“、、、、(KDC)、、、

换中心公开密钥信息随机数顺序号的术语和定义增加了杂凑函数密钥派生函

(KTC)、、、”,“、

数密钥建立密钥权标消息鉴别码签名系统的术语和定义见第章年版的第

、、、、”(3,19993

章

);

增加了第章符号和缩略语见第章

———4“”(4);

将年版的第章密钥管理综述修改为第章密钥管理的一般模型删除了年

———19994“”5“”,1999

版的增加了并对部分内容进行了修改见第章年版的第章

4.1.2,5.1、5.3.1,(5,19994);

将年版的第章密钥分发概念模型修改为第章两实体间密钥分发的概念模型增

———19996“”7“”,

加了并对部分内容进行了修改见第章年版的第章

7.1,(7,19996);

删除了年版的附录相关内容与现有国家标准和密码行业标准保持一致

———1999D,。

本部分使用重新起草法修改采用信息技术安全技术密钥管理第

ISO/IEC11770-1:2010《1

部分框架

:》。

本部分与相比在结构上有调整增加了第章后续条款号依次改变调整

ISO/IEC11770-1:2010,2,,

为和调整附录为附录附录为附录

4.2.3~4.2.55.2.2、5.2.3.15.2.3.2,BC,CB。

本部分与的技术性差异及其原因如下

ISO/IEC11770-1:2010:

增加了第章规范性引用文件见第章

———2(2);

删除了部分术语和定义见的第章

———(ISO/IEC11770-1:20102);

删除了和的符号见的

———“CA”“RA”(ISO/IEC11770-1:20103.1);

在第章明确了应采用国家密码管理部门认可的密码算法并将所

———5“”,ISO/IEC11770-1:2010

引用的密码算法标准修改为引用我国对应的密码算法标准以便于使用见第章

,(5)。

本部分还做了下列编辑性修改

:

删除的资料性附录相关内容与现有国家标准和密码行业标准保持

———ISO/IEC11770-1:2010D,

一致

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分起草单位西安西电捷通无线网络通信股份有限公司无线网络安全技术国家工程实验室

:、、

Ⅲ

GB/T179011—2020

.

中关村无线网络安全产业联盟国家密码管理局商用密码检测中心北京大学深圳研究生院中国电子

、、、

科技集团公司第三十研究所国家无线电监测中心检测中心中国电子技术标准化研究院中国通用技

、、、

术研究院中国网络安全审查技术与认证中心天津市无线电监测站北京计算机技术及应用研究所天

、、、、

津市电子机电产品检测中心重庆邮电大学

、。

本部分主要起草人杜志强李琴郎元朱跃生刘科伟周国良陶洪波王月辉铁满霞张变玲

:、、、、、、、、、、

彭潇李冰许玉娜黄振海布宁张璐璐于光明颜湘张国强刘景莉李冬商钧赵慧王莹

、、、、、、、、、、、、、、

朱正美高德龙郑骊熊克琦黄奎刚龙昭华吴冬宇

、、、、、、。

本部分所代替标准的历次版本发布情况为

:

———GB/T17901.1—1999。

Ⅳ

GB/T179011—2020

.

引言

在信息技术中采用密码机制保护数据不被非法窃取或篡改实现实体鉴别和抗抵赖的需求与日俱

,、

增这些机制的安全性和可靠性直接取决于对密钥的管理和保护如果密钥管理有薄弱环节那么将

。。,

使其声称的密码功能都失效因此安全管理密钥对于将密码功能集成到系统中至关重要密钥管理的

,。

目的是提供用于对称或非对称密码机制中的密钥处理程序

。

本部分修改采用信息技术安全技术密钥管理第部分框架适

ISO/IEC11770-1:2010《1:》,

用于对通信密钥的管理定义了密钥管理的一般模型它不依赖使用的特定密码算法

。ISO/IEC11770,。

但是某些密钥分发机制取决于特定算法的特性例如非对称算法特性

,。

如果密钥管理中需要使用抗抵赖功能参见

,GB/T17903。

本部分描述了自动和人工两种密钥管理方法包括数据元素框架以及用于获取密钥管理服务的操

,

作流程但对协议交换所需的细节不作详细说明

,。

同其他安全服务一样密钥管理只在所定义的安全策略中提供密钥管理服务但安全策略的定义超

,,

出本部分的范围

。

密钥管理的根本问题是要参与各方确认密钥材料向直接和间接用户保证其来源完整性即时性

,、、

以及秘密密钥情形下保密性密钥管理包括根据某一安全策略生成存储分发删除和归档密钥

()。、、、

等功能

(GB/T9387.2—1995)。

Ⅴ

GB/T179011—2020

.

信息技术安全技术密钥管理

第1部分框架

:

1范围

的本部分包含以下内容

GB/T17901:

建立密钥管理机制的通用模型

a);

定义对通用的密钥管理的基本概念

b)GB/T17901;

定义密钥管理服务的特征

c);

规定对密钥在其生存周期内进行管理的通用原则

d);

建立通信密钥分发的概念模型

e)。

本部分适用于建立密钥管理模型和设计密钥管理方法

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

所有部分信息技术安全技术实体鉴别所有部分

GB/T15843()[ISO/IEC9798()]

信息技术安全技术抗抵赖第部分采用对称技术的机制

GB/T17903.22:(GB/T17903.2—

2008,ISO/IEC13888-2:1998,IDT)

信息技术开放系统互连开放系统安全框架