GB/T 17901.1-1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架

﹫﹤．

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

﹩﹣燉．—

┉﹫燉﹫﹦﹤┐：

信息技術(shù)安全技術(shù)密鑰管理

第部分：框架

﹫┃┄┇│┉┄┃┉┃┄━┄┎—┊┇┉┎┉┃┆┊┈—

┎│┃│┃┉—┇┉：﹨┇│┌┄┇─

┐┐發(fā)布┐┐實(shí)施

國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布

﹩﹣燉．—

目次

前言…………………………Ⅲ

ＩＳＯ燉ＩＥＣ前言………………Ⅳ

引言…………………………Ⅴ

１范圍………………………１

２引用標(biāo)準(zhǔn)…………………１

３定義………………………２

４密鑰管理綜述……………３

５密鑰管理概念……………６

６密鑰分發(fā)概念模型………………………８

７專(zhuān)門(mén)的服務(wù)提供者………………………１１

附錄Ａ（提示的附錄）對(duì)密鑰管理的威脅………………１２

附錄Ｂ（提示的附錄）密鑰管理信息客體………………１２

附錄Ｃ（提示的附錄）密碼應(yīng)用分類(lèi)……………………１３

附錄Ｄ（提示的附錄）證書(shū)生存期管理…………………１４

附錄Ｅ（提示的附錄）參考文獻(xiàn)…………１９

Ⅰ

﹩﹣燉．—

前言

本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ＩＳＯ燉ＩＥＣ１１７７０１：１９９６《信息技術(shù)安全技術(shù)密鑰管理第１部分：

框架》。

本系列標(biāo)準(zhǔn)規(guī)定了密鑰管理框架，適合于我國(guó)使用。

ＧＢ燉Ｔ１７９０１在總標(biāo)題《信息技術(shù)安全技術(shù)密鑰管理》下，包含以下幾個(gè)部分：

——第１部分：框架

——第２部分：采用對(duì)稱(chēng)技術(shù)的機(jī)制

——第３部分：采用非對(duì)稱(chēng)技術(shù)的機(jī)制

本標(biāo)準(zhǔn)的附錄Ａ、附錄Ｂ、附錄Ｃ、附錄Ｄ和附錄Ｅ都是提示的附錄。

本標(biāo)準(zhǔn)由國(guó)家信息化辦公室提出。

本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)起草單位：電子工業(yè)部第三十研究所。

本標(biāo)準(zhǔn)主要起草人：雷利民、龔奇敏、方姝妹、鮑振東、吳婭若、杜明鈺。

Ⅲ

﹩﹣燉．—

﹫燉﹫﹦﹤前言

ＩＳＯ（國(guó)際標(biāo)準(zhǔn)化組織）和ＩＥＣ（國(guó)際電工委員會(huì)）形成了世界范圍內(nèi)的標(biāo)準(zhǔn)化專(zhuān)門(mén)體系。ＩＳＯ或ＩＥＣ

的成員國(guó)，通過(guò)由處理特殊技術(shù)活動(dòng)領(lǐng)域的各個(gè)組織所建立的技術(shù)委員會(huì)來(lái)參與國(guó)際標(biāo)準(zhǔn)的開(kāi)發(fā)。ＩＳＯ

和ＩＥＣ的技術(shù)委員會(huì)在共同感興趣的領(lǐng)域內(nèi)合作，其他與ＩＳＯ和ＩＥＣ有聯(lián)絡(luò)的官方和非官方國(guó)際性組

織，也參與這項(xiàng)工作。

在信息技術(shù)領(lǐng)域內(nèi)，ＩＳＯ和ＩＥＣ已建立了一個(gè)聯(lián)合技術(shù)委員會(huì)ＩＳＯ燉ＩＥＣＪＴＣ１。被聯(lián)合技術(shù)委員會(huì)

接受的國(guó)際標(biāo)準(zhǔn)草案送給各成員國(guó)表決。一個(gè)國(guó)際標(biāo)準(zhǔn)的發(fā)布，需要至少７５％的成員國(guó)投贊成票。

國(guó)際標(biāo)準(zhǔn)ＩＳＯ燉ＩＥＣ１１７７０１是由信息技術(shù)聯(lián)合技術(shù)委員會(huì)ＩＳＯ燉ＩＥＣＪＴＣ１的ＩＴ安全技術(shù)ＳＣ２７

分委員會(huì)制定的。

ＩＳＯ燉ＩＥＣ１１７７０的總標(biāo)題《信息技術(shù)安全技術(shù)密鑰管理》下，包含以下部分：

——第１部分：框架

——第２部分：采用對(duì)稱(chēng)技術(shù)的機(jī)制

——第３部分：采用非對(duì)稱(chēng)技術(shù)的機(jī)制

可能有后續(xù)部分。

附錄Ａ、附錄Ｂ、附錄Ｃ、附錄Ｄ和附錄Ｅ只作為參考。

Ⅳ

﹩﹣燉．—

引言

在信息技術(shù)中，采用密碼機(jī)制保護(hù)數(shù)據(jù)不被非授權(quán)地泄露或竄改、實(shí)現(xiàn)實(shí)體鑒別和抗抵賴功能的需

求與日俱增。這些機(jī)制的安全性和可靠性直接取決于對(duì)密鑰這一安全參數(shù)的管理和保護(hù)。如果密鑰管

理有薄弱環(huán)節(jié)，那么即使是最完善的安全概念都將不起作用，因此安全地管理這些密鑰對(duì)于將密碼功能

集成到系統(tǒng)中去是至關(guān)重要的。密鑰管理的目的是提供對(duì)用于對(duì)稱(chēng)或非對(duì)稱(chēng)密碼機(jī)制中的密碼密鑰材

料的處理程序。

根本問(wèn)題是要確定密鑰材料，向直接和間接用戶保證其來(lái)源、完整性、即時(shí)性和（秘密密鑰情形下

的）保密性。密鑰管理包括根據(jù)某一安全策略產(chǎn)生、存儲(chǔ)、分發(fā)、刪除和歸檔密鑰材料（ＧＢ燉Ｔ９３８７．２

—１９９５）等功能。

本標(biāo)準(zhǔn)與開(kāi)放系統(tǒng)安全框架（ＩＳＯ燉ＩＥＣ１０１８１）有著特殊的關(guān)系。所有這些框架，包括本框架，確定

涵蓋安全各個(gè)方面的機(jī)制的基本概念和特性。本標(biāo)準(zhǔn)介紹作為對(duì)稱(chēng)和非對(duì)稱(chēng)密碼機(jī)制基礎(chǔ)的密鑰管理

的一般模型。

Ⅴ

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

信息技術(shù)安全技術(shù)密鑰管理

第部分框架﹩﹣燉．—

：┉﹫燉﹫﹦﹤┐：

﹫┃┄┇│┉┄┃┉┃┄━┄┎—┊┇┉┎┉┃┆┊┈—

┎│┃│┃┉—┇┉：﹨┇│┌┄┇─

范圍

本標(biāo)準(zhǔn)：

１）確定密鑰管理的目標(biāo)；

２）描述作為密鑰管理機(jī)制基礎(chǔ)的一般模型；

３）定義對(duì)ＧＢ燉Ｔ１７９０１所有部分通用的密鑰管理基本概念；

４）定義密鑰管理服務(wù)；

５）確定密鑰管理機(jī)制的特性；

６）規(guī)定對(duì)密鑰材料在其生存期內(nèi)進(jìn)行管理的需求；

７）描述對(duì)密鑰材料在其生存期內(nèi)進(jìn)行管理的框架。

本框架定義了與任何特定密碼算法的使用無(wú)關(guān)的密鑰管理一般模型，但是某些密鑰分發(fā)機(jī)制可能

與特定的算法特性（如非對(duì)稱(chēng)算法的特性）有關(guān)。

具體的密鑰管理機(jī)制在本系列標(biāo)準(zhǔn)的其他部分闡述。其中，第２部分闡述對(duì)稱(chēng)體制，第３部分闡述

非對(duì)稱(chēng)體制。本標(biāo)準(zhǔn)的內(nèi)容是理解第２和第３部分的基礎(chǔ)。ＩＳＯ８７３２和ＩＳＯ１１１６６中有使用密鑰管理

機(jī)制的范例。如果密鑰管理需要抗抵賴功能，應(yīng)采用ＧＢ燉Ｔ１７９０３。

本標(biāo)準(zhǔn)對(duì)密鑰的自動(dòng)與人工管理都進(jìn)行了闡述，包括用來(lái)獲得密鑰管理服務(wù)的數(shù)據(jù)元素和操作順

序的概貌，但對(duì)可能需要的協(xié)議交換的細(xì)節(jié)未作規(guī)定。

和其他安全服務(wù)一樣，只有在己定義的安全策略中才能提供密鑰管理服務(wù)。安全策略的定義超出了

ＧＢ燉Ｔ１７９０１的范圍。

引用標(biāo)準(zhǔn)

下列標(biāo)準(zhǔn)所包含的條文，通過(guò)在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)出版時(shí)，所示版本均

為有效。所有標(biāo)準(zhǔn)都會(huì)被修訂，使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。

ＧＢ燉Ｔ９３８７．２—１９９５信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第２部分：安全體系結(jié)構(gòu)

（ｉｄｔＩＳＯ７４９８２：１９８９）

ＧＢ１５８４３．１—１９９５信息技術(shù)安全技術(shù)實(shí)體鑒別機(jī)制第１部分：一般模型