(高清版)GB∕T 37985-2019 机动车电子标识密钥管理系统技术要求

ICS35.040GB/T37985—2019机动车电子标识密钥管理系统技术要求国家市场监督管理总局中国国家标准化管理委员会GB/T37985—2019 I 25一般要求 25.1系统架构 25.2安全保护等级 25.3运行环境 26密钥管理和基本功能 26.1密钥管理 26.2基本功能 4附录A(规范性附录)对称密钥分类 5附录B(规范性附录)非对称密钥分类 IGB/T37985—2019本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国公安部提出并归口。1GB/T37985—2019机动车电子标识密钥管理系统技术要求2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T35789.1—2017机动车电子标识通用规范第1部分：汽车GM/T0002SM4分组密码算法GM/T0035.5—2014射频识别系统密码应用技术要求第5部分：密钥管理技术要求3术语和定义GB/T35789.1—2017界定的以及下列术语和定义适用于本文件。3.1机动车电子标识密钥管理系统keymanagementsystemfortheelectronicidentificationofmotor对机动车电子标识和读写设备的各类密钥进行管理的信息系统。3.2用于生成根密钥的密钥。3.3用于生成身份鉴别和灭活口令等密钥的密钥。3.4机动车电子标识出厂时预置的密钥。非对称密码算法中不可以公开的密钥。3.6公钥publickey非对称密码算法中可以公开的密钥。2GB/T37985—20194缩略语CID:芯片标识编号(ChipIDentifier)IC:集成电路(IntegratedCircuit)机动车电子标识密钥管理系统采用中心和分中心密钥管理系统架构。机动车电子标识密钥管理系统的安全保护等级应符合GB/T22239—2008中第7章的要求。机动车电子标识密钥管理系统运行环境应符合以下要求：a)运行在公安信息通信网；b)密码机应采用国家密码管理部门核准的商用密码产品。6密钥管理和基本功能2014的要求。性及完整性保护。对称密钥的管理应符合GM/T0035.5—2014中5.1的要求。对称密钥分类见附录A中表A.1。3GB/T37985—2019a)注入至分中心密钥管理系统的机动车登记信息区数据加密根密钥由初始根密钥分散产生，分d)密钥分散算法使用SM1或SM4密码算法，SM4算法符合GM/T0002的要求。机动车电子标识密钥注入按如下步骤：a)读写设备使用机动车电子标识出厂密钥与机动车电子标识进行双向身份鉴别，完成身份鉴别后读取机动车电子标识CID;b)使用密钥类别代码和CID作为分散因子进行密钥分散，生成身份鉴别、灭活口令、锁定口令、c)读写设备再次与机动车电子标识进行身份鉴别和读写操作，确认密钥注入是否成a)密钥管理系统使用读写设备公钥对身份鉴别、数据加密和分区读口令等根密钥进行送至读写设备；a)密码机在密钥导出和导入时有安全保护机制；a)密钥管理系统所有根密钥存储在密码机；c)机动车电子标识中的密钥存储在机动车电子标识安全区和口令专用存储区域，不能被导出。机动车电子标识密钥管理系统中的密钥应符合以下要求：c)用于加密密钥备份的密钥存储在智能IC卡和智能密码钥匙等介质上，并分割成多个部分，由不同的人员分别保存。应定期验证机动车电子标识密钥管理系统中存储的密钥及其备份密钥的完整性。4GB/T37985—2019a)能够支持和管理多个版本的初始根密钥；b)初始根密钥更新后，能够自动对所有应符合以下要求：a)非对称密钥的管理符合GM/T0035.5—2014中5.2的要求。非对称密钥分类见附录B中表B.1。b)读写设备公钥和私钥由读写设备安全模块自动生成，密码算法使用SM2算法。c)密钥管理系统对读写设备公钥进行数字签名，并将数字签名写入读写设备安全模块。中心密钥管理系统应具备如下功能：密钥的分散。g)密码机管理。包括主密码机与备份密码机间的切换、工作状态查询和密码机入网设置等功j)远程监管。对分中心密钥管理系统运行状态的监管。分中心密钥管理系统应具备如下功能：等根密钥的安全导入。c)数据加解密服务。包括机动车电子标识用户区数据的加密和解密服务。d)密码机管理。包括主密码机与备份密码机间的切换、工作状态查询和密码机入网设置等功e)系统用户管理。包括新增用户、删除用户和设置用户操作5GB/T37985—2019(规范性附录)对称密钥分类表A.1规定了对称密钥分类。表A.1对称密钥分类类别类别代码说明初始根密钥A0机动车电子标识密钥管理系统的根密钥，所有根密钥均由该密钥分散生成身份鉴别根密钥B1用于生成机动车电子标识身份鉴别密钥的根密钥分区读口令根密钥B2用于生成机动车电子标识分区读口令的根密钥分区写口令根密钥B3用于生成机动车电子标识分区写口令的根密钥灭活口令根密钥B4用于生成机动车电子标识灭活口令的根密钥锁定口令根密钥B5用于生成机动车电子标识锁定口令的根密钥数据加密根密钥B6用于生成机动车电子标识数据加密密钥的根密钥身份鉴别密钥用于通信过程中双向身份鉴别的密钥分区读口令用于分区读操作的密钥分区写口令用于分区写操作的密钥灭活口令用于灭活操作的密钥锁定口令用于锁定操作的密钥数据加密密钥用于机动车电子标识的机动车登记信息区和用户区数据加解密的密钥6GB/T37985—2019(规范性附录)非对称密钥分类表B.1规定了非对称密钥分类。表B.1非对称密钥分类类别类别代码说明中心密钥管理系统公钥和私钥D1由中心密钥管理系统生成的，用于数字签名及验证读写设备公钥和私钥F1