標(biāo)準(zhǔn)解讀

GB/T 21082.4-2007是一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn),專注于銀行業(yè)的密鑰管理領(lǐng)域,特別是針對(duì)零售業(yè)務(wù)中的密鑰管理技術(shù)。該標(biāo)準(zhǔn)的第四部分著重介紹了在公開(kāi)密鑰密碼體系下如何實(shí)施有效的密鑰管理。以下是該標(biāo)準(zhǔn)內(nèi)容的詳細(xì)說(shuō)明:

標(biāo)準(zhǔn)范圍

此部分標(biāo)準(zhǔn)規(guī)定了銀行業(yè)在零售業(yè)務(wù)場(chǎng)景下,采用公開(kāi)密鑰密碼(也稱非對(duì)稱加密)技術(shù)進(jìn)行密鑰管理的具體要求和操作流程。它覆蓋了密鑰的生成、分發(fā)、存儲(chǔ)、更新、撤銷及銷毀等全生命周期管理,旨在確保數(shù)據(jù)的安全傳輸與存儲(chǔ),防止未授權(quán)訪問(wèn),保護(hù)客戶信息和交易安全。

關(guān)鍵要素

  1. 密鑰生成:標(biāo)準(zhǔn)強(qiáng)調(diào)了密鑰生成過(guò)程應(yīng)確保隨機(jī)性與唯一性,避免密鑰的可預(yù)測(cè)性,同時(shí)要求在安全環(huán)境中生成,以防密鑰在創(chuàng)建時(shí)即遭泄露。

  2. 密鑰分發(fā):描述了安全的密鑰分發(fā)機(jī)制,確保密鑰能安全地從生成點(diǎn)傳遞到使用點(diǎn),通常涉及證書頒發(fā)機(jī)構(gòu)(CA)簽發(fā)的數(shù)字證書來(lái)綁定公鑰及其持有者的身份信息。

  3. 密鑰存儲(chǔ):提出了密鑰存儲(chǔ)的安全要求,包括物理和邏輯上的安全措施,如使用硬件安全模塊(HSM)來(lái)保護(hù)密鑰免受未經(jīng)授權(quán)的訪問(wèn)或泄露。

  4. 密鑰更新與輪換:標(biāo)準(zhǔn)要求定期更新或輪換密鑰,以降低長(zhǎng)期使用同一密鑰帶來(lái)的風(fēng)險(xiǎn),確保即使舊密鑰被破解,新數(shù)據(jù)仍能保持安全。

  5. 密鑰撤銷:定義了密鑰撤銷機(jī)制,當(dāng)密鑰被認(rèn)為已泄露或不再安全時(shí),能夠迅速采取行動(dòng),阻止該密鑰的進(jìn)一步使用。

  6. 密鑰銷毀:詳細(xì)說(shuō)明了密鑰不再需要時(shí)的銷毀流程,確保密鑰被徹底且不可恢復(fù)地刪除,防止遺留安全漏洞。

安全控制措施

標(biāo)準(zhǔn)還涵蓋了實(shí)施上述密鑰管理活動(dòng)時(shí)必須遵循的一系列安全控制措施,比如訪問(wèn)控制、審計(jì)跟蹤、災(zāi)難恢復(fù)計(jì)劃等,以增強(qiáng)整個(gè)密鑰管理系統(tǒng)的穩(wěn)健性和合規(guī)性。

法規(guī)遵從與風(fēng)險(xiǎn)管理

此外,標(biāo)準(zhǔn)提醒銀行機(jī)構(gòu)需考慮相關(guān)的法律法規(guī)要求,以及在密鑰管理實(shí)踐中進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估和管理,確保操作符合最新的安全標(biāo)準(zhǔn)和最佳實(shí)踐。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2007-09-05 頒布
  • 2007-12-01 實(shí)施
?正版授權(quán)
GB/T 21082.4-2007銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密鑰密碼的密鑰管理技術(shù)_第1頁(yè)
GB/T 21082.4-2007銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密鑰密碼的密鑰管理技術(shù)_第2頁(yè)
GB/T 21082.4-2007銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密鑰密碼的密鑰管理技術(shù)_第3頁(yè)
GB/T 21082.4-2007銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密鑰密碼的密鑰管理技術(shù)_第4頁(yè)
GB/T 21082.4-2007銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密鑰密碼的密鑰管理技術(shù)_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余19頁(yè)可下載查看

下載本文檔

免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

犐犆犛35.240.40

犃11

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜21082.4—2007

銀行業(yè)務(wù)密鑰管理(零售)

第4部分:使用公開(kāi)密鑰密碼的

密鑰管理技術(shù)

犅?tīng)釥顮霠闋顮纭獱藸鍫鶢頎釥顮釥鐮鍫頎鍫顮簦驙鍫魻釥闋欤?/p>

犘犪狉狋4:犓犲狔犿犪狀犪犵犲犿犲狀狋狋犲犮犺狀犻狇狌犲狊狌狊犻狀犵狆狌犫犾犻犮犽犲狔犮狉狔狆狋狅犵狉犪狆犺狔

(ISO115684:1998,MOD)

20070905發(fā)布20071201實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜21082.4—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4零售銀行系統(tǒng)中公開(kāi)密鑰密碼系統(tǒng)的使用!!!!!!!!!!!!!!!!!!!!!!!3

5提供密鑰管理服務(wù)的技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6公鑰證書管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

附錄A(規(guī)范性附錄)公鑰證書的管理!!!!!!!!!!!!!!!!!!!!!!!!!6

附錄B(資料性附錄)屬性證書!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

附錄C(資料性附錄)公開(kāi)密鑰密碼系統(tǒng)的基本概念!!!!!!!!!!!!!!!!!!!13

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

犌犅/犜21082.4—2007

前言

GB/T21082《銀行業(yè)務(wù)密鑰管理(零售)》分為如下6個(gè)部分:

———第1部分密鑰管理介紹;

———第2部分對(duì)稱密碼的密鑰管理技術(shù);

———第3部分對(duì)稱密碼的密鑰生命周期;

———第4部分使用公開(kāi)密鑰密碼的密鑰管理技術(shù);

———第5部分公開(kāi)密鑰密碼系統(tǒng)的密鑰生命周期;

———第6部分密鑰管理方案。

本部分是GB/T21082的第4部分。

本部分修改采用國(guó)際標(biāo)準(zhǔn)ISO115684:1994《銀行業(yè)務(wù)密鑰管理(零售)第4部分:使用公開(kāi)密

鑰密碼的密鑰管理技術(shù)》(英文版)。

考慮到我國(guó)國(guó)情,在采用ISO115684時(shí)做了以下修改:

刪除了“ISO115684附錄A核準(zhǔn)的算法和算法審核程序”,在第1章中說(shuō)明應(yīng)遵循我國(guó)密碼管理

部門的有關(guān)規(guī)定。

為便于使用,本部分還做了下列編輯性修改:

a)對(duì)規(guī)范性引用文件中所引用的國(guó)際標(biāo)準(zhǔn),有相應(yīng)國(guó)家標(biāo)準(zhǔn)的,改為引用國(guó)家標(biāo)準(zhǔn);

b)刪除ISO前言。

本部分的附錄A為規(guī)范性附錄,附錄B、附錄C為資料性附錄。

本部分由中國(guó)人民銀行提出。

本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。

本部分負(fù)責(zé)起草單位:中國(guó)金融電子化公司。

本部分參加起草單位:中國(guó)人民銀行、中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、招商銀行、華北計(jì)算技術(shù)研究

所、啟明星辰有限公司。

本部分主要起草人:譚國(guó)安、楊、陸書春、李曙光、林中、張啟瑞、史永恒、趙宏鑫、李紅新、徐偉、董

永樂(lè)、王林立、周亦鵬、熊少軍。

本部分為首次制定。

犌犅/犜21082.4—2007

引言

GB/T21082是描述在零售銀行業(yè)務(wù)環(huán)境下密鑰安全管理過(guò)程的一系列標(biāo)準(zhǔn),這些密鑰用于保護(hù)

諸如收單行和受卡方之間,或收單行和發(fā)卡行之間的報(bào)文。用于集成電路卡的密鑰管理不包括在

GB/T21082標(biāo)準(zhǔn)中。

鑒于批發(fā)銀行環(huán)境中的密鑰管理是以在安全系數(shù)相對(duì)高的安全環(huán)境中的密鑰交換為特征的,本標(biāo)

準(zhǔn)描述了在零售銀行服務(wù)涉及的領(lǐng)域內(nèi)適用的密鑰管理要求,典型的服務(wù)類型有銷售點(diǎn)/服務(wù)點(diǎn)(POS)

借記支付,信用卡憑證支付和自動(dòng)柜員機(jī)(ATM)交易。

GB/T21082的本部分主要描述適用于公開(kāi)密鑰密碼系統(tǒng)的密鑰管理技術(shù)。在組合使用時(shí),這些

技術(shù)將提供ISO115681中描述的密鑰管理服務(wù)。這些服務(wù)是:

———密鑰分離;

———防止密鑰替換;

———密鑰鑒別;

———密鑰同步;

———密鑰完整性;

———密鑰機(jī)密性;

———密鑰泄露檢測(cè)。

犌犅/犜21082.4—2007

銀行業(yè)務(wù)密鑰管理(零售)

第4部分:使用公開(kāi)密鑰密碼的

密鑰管理技術(shù)

1范圍

GB/T21082的本部分詳細(xì)描述了在零售銀行業(yè)務(wù)環(huán)境下對(duì)公開(kāi)密鑰密碼系統(tǒng)密鑰的使用和保護(hù)

技術(shù)。

它適用于任何在密鑰生命周期內(nèi)負(fù)責(zé)執(zhí)行密鑰保護(hù)程序的組織。GB/T21082的本部分描述的技

術(shù)符合ISO115681描述的原則。

注:在密鑰生命周期每一階段所要求的保護(hù)公開(kāi)密鑰密碼系統(tǒng)的保護(hù)細(xì)節(jié)在ISO115681中有詳細(xì)描述。

公開(kāi)密鑰密碼系統(tǒng)包括非對(duì)稱密碼、數(shù)字簽名系統(tǒng)和公開(kāi)密鑰分發(fā)系統(tǒng)。雖然本部分主要描述在

密鑰管理中應(yīng)用這些系統(tǒng)的技術(shù),但其中一些技術(shù)也同樣適用于數(shù)據(jù)的安全管理。

本部分描述的技術(shù)主要針對(duì)一般的公開(kāi)密鑰密碼系統(tǒng)。針對(duì)某個(gè)特定系統(tǒng)的具體標(biāo)準(zhǔn)見(jiàn)附錄。

批準(zhǔn)與本部分中描述的技術(shù)一起使用的算法和算法的審批程序應(yīng)遵從國(guó)家密碼管理相關(guān)機(jī)構(gòu)的

規(guī)定。

附錄A概述了公鑰證書管理的標(biāo)準(zhǔn)化。

附錄B描述了屬性證書,這項(xiàng)技術(shù)能加強(qiáng)公鑰證書的功能。

附錄C介紹了上面提到的三種公開(kāi)密鑰密碼系統(tǒng)。

2規(guī)范性引用文件

下列文件中的條款通過(guò)GB/T21082的本部分的引用而成為本部分的條款。凡是注日期的引用文

件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵(lì)根據(jù)本部分達(dá)成

協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本

部分。

GB/T15843.3—1998信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分:

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論