GB T 27909.2-2011 银行业务 密钥管理(零售) 第2部分：对称密码及其密钥管理和生命周期.pdf

1、ICS 35.240.40 A 11 道B中华人民共和国国家标准GB/T 27909.2-20门银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期Banking-Key management (retail)一Part 2: Symmetric ciphers-Key management and life cycle (ISO 11568-2 :2005 ,MOD) 2011-12-30发布2012-02-01实施数码防伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会发布GB/T 27909.2-2011 目次前言.皿引言.凹1 范围-2 规范性引用文件-3 术

2、语和定义4 密钥管理技术的一般环境.3 4. 1 概述34.2 安全密码设备的功能.3 4. 3 密钥生成.4 4.4 密钥计算(变形). 4. 5 密钥分级.5 4.6 密钥生命周期.4.7 密钥存储.4.8 备份密钥的重新获取.8 4.9 密钥的分发和导入.9 4.10 密钥使用.9 4.11 密钥更换.10 4.四密钥销毁104. 13 密钥删除.10 4. 14 密钥归档104. 15 密钥终止.10 5 提供密钥管理服务的技术.10 5. 1 介绍.10 5.2 密钥加密.5.3 密钥变形.5.4 密钥衍生5. 5 密钥变换.12 5.6 密钥偏移5.7 密钥公证135.8 密钥标记

3、.14 5. 9 密钥验证5. 10 密钥识别.15 5.11 控制和审计155.四密钥完整性166 对称密钥生命周期.6. 1 概述GB/T 27909.2-2011 6.2 密钥生成166.3 密钥存储.17 6.4 备份密钥的恢复.17 6.5 密钥分发和导人. . . 17 6.6 密钥使用.19 6. 7 密钥更换. 19 6.8 密钥销毁、删除、归档和终止.19 7 密钥管理服务的对照参考.20 附录A(规范性附录)本部分使用的符号.21附录B(规范性附录)缩略语参考文献.23H G/T 27909.2-20门目。吕GB/T 27909(银行业务密钥管理(零售)分为以下3个部分z一

4、第1部分:一般原则;一第2部分z对称密码及其密钥管理和生命周期;一一第3部分z非对称密码系统及其密钥管理和生命周期。本部分是GB/T27909的第2部分。本部分按照GB/T1. 1-2009给出的规则起草。本部分修改采用国际标准ISO11568-2 :2005(银行业务密钥管理(零售)第2部分:对称密码系统及其密钥管理和生命周期)(英文版)。在采用ISO11568-2时做了以下修改z删除了ISO11568-2附录B对称密钥管理的核准算法，在第1章中说明本部分描述的技术中所涉及到的算法应符合国家密码管理部门的有关规定。本部分还做了下列编辑性修改:a) 对规范性引用文件中所引用的国际标准，有相应国

5、家标准的，改为引用国家标准Eb) 删除ISO前言。本部分由中国人民银行提出。本部分由全国金融标准化技术委员会(SAC/TC180)归口。本部分负责起草单位z中国金融电子化公司。本部分参加起草单位:中国人民银行、中国工商银行、中国农业银行、中国银行、交通银行、中国光大银行、中国银联股份有限公司。本部分主要起草人:王平娃、陆书春、李曙光、赵志兰、周亦鹏、赵宏鑫、程贯中、刘瑶、喻国栋、杨增宇、黄发国。mM GB/T 27909.2-20门51 GB/T 27909描述了在零售金融服务环境下密钥的安全管理过程，这些密钥用于保护诸如收单方和受理方之间，收单方和发卡方之间的报文。本部分描述了在零售金融服务

6、领域内适用的密钥管理要求，典型的服务类型有销售点/服务点(POS)借贷记授权和自动柜员机(ATM)交易。当GB/T27909各部分描述的密钥管理技术结合使用时，可提供GB/T27909. 1中描述的密钥管理服务。这些服务包括:一一密钥分离;一一防止密钥替换;一一密钥鉴别;一一密钥同步;一一密钥完整性;一一密钥机密性;一一密钥泄露的检测。密钥管理服务和相应的密钥管理技术的对照参考见第7章。本部分描述了使用对称密码机制时，密钥安全管理中涉及的密钥生命周期。依据GB/T27909. 1 和本部分描述的密钥管理原则、服务和技术，本部分也规定了密钥生命期内各个阶段的要求和实现方法。本部分不涉及非对称密码

7、机制的密钥管理或生命周期，该方面的内容见GB/T27909.3。N 本部分制定时，充分考虑了ISO/IEC11770标准的要求。本部分采用和描述的技术满足了金融服务行业的需求。银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期GB/T 27909.2-2011 1 范围本部分描述了在零售金融服务环境中，当使用对称密码机制时对称和非对称密钥的保护技术，也描述了与对称密钥相关的生命周期管理。本部分描述的技术符合GB/T27909. 1中描述的原则。本部分描述的技术适用于任何对称密钥管理操作。本部分所使用的符号见附录A。本部分描述的技术中所涉及到的算法应符合国家密码管理部门的有关规定。

8、2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 27909. 1-2011银行业务密钥管理(零售)第1部分:一般原则(lSO11568-1: 2005 , MOD) GB/T 20547.2-2006 银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单(lSO13491-2 :2005 , MOD) GB/T 21078. 1-2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求(lSO9564

9、-1: 2002 , MOD) GB/T 21079. 1 银行业务安全加密设备(零售)第1部分:概念、需求和评估方法CGB/T21079.1-2007 ,ISO 13491-1:1998,MOD) ISO/IEC 10116 信息技术安全技术n位分组密码的操作方式ISO 16609 :2004 银行业务使用对称技术的报文鉴别要求ISO/IEC 18033-1信息技术安全技术加密算法第1部分:概要ISO/TR 19038: 2005银行业务和相关金融服务三重DEA操作模式实施指南ANSI X9. 24 Part 1-2004 零售金融服务对称密钥管理第1部分:使用对称技术ANSI X9. 65

10、 三重数据加密算法C3-DEA)，实施标准3 术语和定义下列术语和定义适用于本文件。3. 1 密码cipher 在称为密钥的参数控制下，实现密文和明文间转换的一对操作。注:加密操作将数据(明文转换成不可读的密文形式;解密操作将密文恢复成明文。GB/T 27909.2-20门3.2 计数器counter 在两方间使用的累加计数，例如，可用于一个特定的密钥加密密钥控制连续的密钥分发。3.3 数据完整性data integrity 数据未以非授权的方式改变或破坏的性质。3.4 数据密钥data key 由随机或伪随机的方法产生的用来对数据加密、解密或鉴别的密钥。3.5 双重控制dual contro

11、l 利用两个或更多的独立实体(通常是人)，协同操作以保护敏感功能和信息的过程。单独的实体不能存取和使用这些功能或信息(例如，密码密钥)。3.6 3. 7 3.8 异或exclusiveor 见3.15。十六进制数hexadecimal digit 用数字O9以及字母AF(大写)表示的一个四比特串。密钥组f牛key component 至少两个随机或伪随机过程产生的参数中的一个，它们具有与一个或多个相似的参数结合形成一个密钥的密钥特征(例如，格式、随机性)，例如，通过模2加法形成密钥。3.9 密钥信封key mailer 用于向已获授权人员传送密钥组件的防篡改信封。3. 10 密钥偏移key o

12、ffset 密钥和计数器使用模2加法相加的结果。3. 11 密钥空间key space 某一密码的所有可用密钥的集合。3. 12 密钥转换设备key transfer device 提供密钥导人、存储和导出功能的安全密码设备。3. 13 密钥转换key transformation 利用不可逆过程从已存在的密钥导出新的密钥。3. 14 报文鉴别码(MAC)message authentication code (MAC) 在发送方和接收方之间传输的报文内的代码。该代码用来验证发送源以及部分或全部报文文本。注:该代码是按照协定方式计算得出的结果。2 G/T 27909.2-20门3. 15 3.

13、16 3.17 3. 18 3. 19 3.20 3.21 3.22 3.23 摸2加法modulo-2 addition 异或exclusive-orCXOR) ; 不带进位的二进制加法，运算规则如下:0十0=0;0十1=1;1+0=1; 1十1=00n位分组密码n-bit block ciper 明文分组和密文分组在长度上都是n位的分组密码算法。公证notarization 为了鉴别发送方和最终接收方的身份而变化密钥加密密钥的方法。偏移offset 见3.10密钥偏移。发送方originator 负责生成密码报文的一方。伪随机pseudo-random 由算法生成但在统计上是随机的且本质上

14、是不可预测的过程。接收方recipient 负责接收密码报文的一方。安全密码设备secure cryptographic device 为诸如密钥这样的秘密信息提供安全存储，以及基于这些秘密信息提供安全服务的设备。密钥分割split knowledge 两个或更多的实体分别地拥有密钥片断，仅通过单个密钥片段不能合成密钥信息。4 密钥管理技术的一般环境4. 1 概述本章描述密钥管理技术的操作环境并介绍一些通用的基本概念和操作。第五章描述用来提供密钥管理服务的技术，第六章描述密钥生命周期。4.2 安全密码设备的功能4.2. 1 概述对称分组密码最基本的密码操作是使用所提供的密钥对一个数据分组进行加

15、密或解密。对多分组3 G/T 27909.2-2011 数据的操作可使用ISOjIEC10116描述的密码操作模式。在这一层次上，并没有赋予数据任何涵义，也没有赋予密钥任何特定意义。一般情况下，为了对密钥和其他敏感信息提供所要求的保护，安全密码设备应提供更高层的功能接口。这些功能接口的每项操作包括几个基本的密码操作，这些基本的密码操作使用密钥的某些组合以及由接口或中间结果获得的数据。这种复合的密码操作被称为功能，每一个功能只对适当类型的数据和密钥进行操作。4.2.2 数据类型应用层密码系统给数据分配含义，特定含义的数据组成了一种数据类型。通过安全密码设备，不同含义的数据需要以不同的方式进行处理

16、和保护。安全密码设备确保了以恰当的方式处理各种数据类型。例如，PIN是一种应保密的数据类型，然而其他的交易数据可构成需要鉴别但不必保密的数据类型。密钥可被认为是一种特殊的数据类型。安全密码设备确保了密钥只以4.7.2中允许的形式存在。4.2.3 密钥类型密钥按其操作的数据类型和操作方式分类。安全密码设备确保能够保持密钥分离，这样可使密钥不会与不恰当的数据类型一起使用或以不恰当的方式操作。例如，PIN加密密钥是一种只用来对PIN加密的密钥类型，而密钥加密密钥(KEK)却是只用来加密其他密钥的密钥类型。同样，KEK也需要分类，以便只对一种类型的密钥进行操作。例如，一种类型的KEK可以加密PIN加密

17、密钥，而另一种可以加密报文鉴别码(MAC)密钥。4.2.4 密码功能由安全密码设备支持的功能直接反映了具体应用的密码要求。它可能包括这些功能:一二加密PIN;验证已加密的PIN;生成MAC;一一生成被加密的随机密钥。安全密码设备的设计应保证不能使用单个功能获得未授权的敏感信息，另外，也不能使用组合功能获得这些信息，这样的设计被称为是逻辑安全的。可能要求一个安全密码设备管理几种类型的密钥。用于这种系统的密钥可通过使用KEK以加密的形式存储，从而在密码设备外被安全的持有。KEK或者存储在密码设备中，或者由更高级别的KEK加密。提供密钥分离的一项技术是使用不同类型的KEK对不同类型的密钥加密。当使用

18、这项技术并且在一个加密密钥被传输到安全密码设备中时，应使用符合该密钥类型的KEK类型将这个密钥解密。如果密钥的类型不正确，即该加密密钥是用与其他密钥类型相应的KEK类型进行的加密，那么解密过程就会产生一个元意义的密钥值。4.3 密钥生成4.3. 1 概述GBjT 27909. 1的密钥管理原则要求密钥应以某种过程生成，该过程应确保密钥的不可预测性或密钥在密钥空间中的等概率性。为了遵循这个原则，密钥和密钥组件应使用随机或伪随机过程来生成。伪随机密钥的生成过程可4 GB/T 27909.2-2011 以是不可重复的，也可以是可重复的。所用的随机或伪随机过程应保证不能够预测或确定某一个特定密钥的概率

19、大于其他可能的密钥。除了密钥变形、密钥的非可逆转换、由密钥加密的密钥或由密钥导出的密钥之外，一个秘密密钥的泄露不可提供与任何其他秘密密钥相关的有用信息。4.3.2 不可重复密钥的生成不可重复密钥的生成过程涉及到不确定的值，如随机数生成器的输出值，或者该过程就是一个伪随机过程。如下所示，Kx是生成密钥的伪随机过程的实例，这里的K是为生成密钥而保留的秘密密钥，V是保密的种子值，DT是在每次密钥生成时更新的日期时间向量:Kx=eK(eK(DT)E V) 并且产生一个新的V值，如下所示:V=eK(Kx E eK(DT) 注=该种方法见ISO18031。4.3.3 可重复的密钥生成使用可重复的过程可很方

20、便地由单个密钥产生一个或多个甚至成千的密钥。这样的过程允许在拥有种子密钥和适当生成数据的情况下，根据要求重新生成任意密钥，并且显著减少需要人工管理、存储或分发的密钥数量。如果初始密钥在密钥空间(如密钥管理原则所要求的)中是不可预测的，那么该过程生成的密钥也是不可预测的。该过程可反复使用，如由一个初始密钥生成的密钥随后可用作生成其他密钥的初始密钥。生成过程应是不可逆的，因此，一个已生成密钥的泄露，不能导致初始密钥和任何其他已生成密钥的泄露。该过程的一个实例是使用初始密钥对非秘密值进行加密。4.4 密钥计算(变形)使用可逆过程可由单个密钥获得大量密钥。密钥和非秘密值的模二加法即为该过程的一个实例。

21、密钥计算具有快速和简单的特点，但是以这种方式计算出的密钥一旦泄露会导致原始密钥和所有由它计算得到的其他密钥的泄露。4.5 密钥分级密钥分级是一个慨念性的结构，在这个结构里，某些密钥的机密性依靠其他密钥的机密性。根据定义，密钥分级中某一级密钥的泄露不应导致更高一级密钥的泄露。密钥加密引入了密钥分级概念，密钥加密密钥(KEK)是比它要加密的密钥更高一级的密钥。最简单的是两级结构，工作密钥由KEK来加密，KEK自身存储在一个密码设备中。在三级结构中，这些KEK也通过使用更高一级的KEK以加密的形式被管理。这个概念可被扩展到四级或更多级以上。类似地，当初始密钥或密钥生成密钥(KGK)通过某一过程参与其

22、他密钥的生成时，会产生分级结构，这样KGK被认为是比它所生成的密钥更高一级的密钥。在密钥分级结构中，上级密钥与它们所保护的密钥相比，安全级别应相等或更高。评估各种密码算法等效强度时应考虑已知的攻击。一般来说，当己知的最快的攻击花费以平均2s-1 T的时间进行攻击时，就认为该算法能够提供s比特的强度，其中T是执行一次明文加密并与相应密文值比较的时间。例如:在ISO/IEC10116中，提出了对112位3-DEA算法的攻击需要O(k)空间和2120-1ogk次操作，GB/T 27909.2-20门其中k是已知明文-密文对的数量。如参考文献口1J中所讨论的，给定240个已知的明文密文对，则会将双密钥

23、(112位)3-DEA的强度减小到80比特。表1中给出了标准发布时推荐的等效密钥长度。评估这些数值时，应考虑密码分析学、因数分解和计算技术的发展。表1加密算法等效强度有效强度对称密码RSA 椭圆曲线80 112位3-DEA(带20个已知密钥对)1024 160 112位3-DEA(不带已知密钥对)112 2048 224 168位3-DEA注:在标准颁布时，零售金融服务环境中的3-DEA密钥是用来保护其他密钥的，3-DEA密钥可被变换，使得不可能收集足够数量的明文-密文对以削弱潜在的密码强度，因此，可以认为112位3-DEA为168位3-DEA和2048位RSA密钥提供了足够的安全保护。4.6

24、 密钥生命周期组成密钥生存期的各种状态统称为密钥的生命周期。密钥应在其生命周期中的任何阶段均受到保护。改变密钥生命周期状态的操作被称为生命周期操作。本节描述了获得一个给定状态或执行一个给定操作的要求。密钥生命周期由以下三个阶段组成:a) 使用前:该阶段生成并存储(可选地)密钥;b) 使用中z该阶段将密钥分发到各个通信方使用;在通信双方都生成新密钥的过程中，密钥的生成和分发紧密联系在一起;有些密钥管理方案是为操作过程中密钥自动变换而设计的;c) 使用后:该阶段密钥进行归档或终止。图1给出了密钥生命周期示意图，说明了密钥是如何经过的特定操作改变其状态的。密钥可以被认为是单个对象，其多个实例可以在不

25、同的位置以不同的形式存在。下列操作之间有明显的区分:-一销毁单个密钥的实例;一一从一个特定位置上把密钥删除，即意味着销毁这个密钥在该位置上的所有实例;终止一个密钥，即意味着从所有的位置上把这个密钥删除。4. 7 密钥存储4.7.1 概述密钥安全存储的目标是防止密钥遭受未授权的泄露、修改和/或替换，并且提供密钥分离。4.7.2 允许的形式4.7.2. 1 概述6 密钥只应以如下形式存在=明文密钥;一一密钥组件;加密的密钥。GB/T 27909.2-2011 | 使用前| F | 使用中| 第一和/或二、三方使用获取存储销毁| 已销毁| 删除一一一-一_j| 己删除l 第一方t 第二方i 归档T

26、L一_一一一_J_一一_一一一一_j组Z| 使用后| 第1和/或2或3部分I I 二状态:图1密钥生命周期示意图7 G/T 27909.2-2011 4.7.2.2 明文密钥其泄露将会对多方造成影响的明文密钥只应存在于安全密码设备中。泄露只会对一方造成影响的明文密钥只应存在于安全密码设备中，或者存放于由该方或该方代表所操作的物理安全环境中。4.7.2.3 密钥组件以至少两个或更多分离的密钥组件形式存在的密钥应通过密钥分割和双重控制技术加以保护。对于基于主机的系统，建议一个密钥至少包含3个组件。密钥组件应只允许获得信任的某个人或某一组人在必要的最短时段内访问。如果密钥组件以人们可以理解的形式存在

27、倒如，在密钥信封内以明文印制)，那么这个组件就应只被一个获得授权的人仅在某个时间点获知，并且知晓密钥组件的时间应不长于将密钥组件输入安全密码设备的时间。授权访问一个密钥组件的人不允许访问此密钥的其他组件。密钥组件应以某种方式保存，以便可以用很高的概率检测到未经授权的访问。如果密钥组件以加密形式保存，则应符合加密的密钥的所有要求。4.7.2.4 加密的密钥密钥加密密钥对密钥的加密应在安全密码设备中实现。4.7.3 密钥完整性应使用以下技术保护密钥的完整性:a) 数字签名;b) MAC; c) 密钥分组绑定方法。4.7.4 保护密钥不被替换应采用下列方式中的一种或几种来防止对存储密钥的未授权的替换

28、ta) 从物理和流程上阻止对密钥存储区域的非授权访问ib) 根据密钥的预期使用功能，将密铝加密存储;c) 确保明文和相应的用密钥加密密钥加密的密文不被同时知晓。4.7.5 密钥分离的规定为了确保被存储的密钥只用于其预期用途，应采用以下一种或多种方法对密钥进行分离:a) 按照预期功能从物理上将密钥分离;b) 用对某种特定类型密钥加密的KEK对密钥进行加密后存储;c) 在密钥加密存储以前，根据密钥的预期使用功能，修改或追加密钥信息。4.8 备份密钥的重新获取8 备份密钥存储了一个密钥的副本，以便密钥在意外损坏但还没有泄露时能够得到恢复。备份密钥恢复的要求与在4.9中描述的密钥分发和导人的要求相同。

29、GB/T 27909.2-20门4.9 密钥的分发和导入4.9. 1 概述安全密码设备在导人个或多个密钥之前应处于物理安全环境中。密钥在分发和导人时应采用以下一种或多种形式的保护za) 明文只出现在密码设备中;b) 以组件形式存在;c) 加密。4.9.2 明文密钥分发和导人密钥的最低要求如下za) 密钥分发过程不应泄露明文密钥的任何一个部分Fb) 只有在保证安全密码设备在此之前没有遭受到可能导致密钥或敏感数据泄露的破坏时，才能将明文密钥导人到该设备里zc) 只有在保证接口处没有安装可能会泄露传输密钥的窃听装置时，明文密钥才可以在安全密码设备之间传输;d) 只有对至少两个授权人进行了鉴别后(例如

30、，通过口令的方法)，安全密码设备才可以传输明文密钥;e) 在生成和使用密钥的密码设备之间传输密钥的设备应是安全密码设备。在将密钥导人到目标设备以后，密钥传输设备不应保留任何可能泄露该密钥的信息。4.9.3 密钥组件分发和导人密钥组件的最低要求:a) 密钥组件的分发过程不应将密钥组件的任何部分泄露给未授权的人;b) 只有保证安全密码设备在此之前没有遭受到可能导致密钥或敏感数据泄露的破坏时，才可将密钥组件导人到该设备里;c) 只有保证接口处没有安装可能会泄露传输的密钥组件的窃听装置时，密钥组件才可在安全密码设备之间传输zd) 密钥分发和导入过程应根据双重控制和密钥分割的原则来操作。4.9.4 加密

31、的密钥加密的密钥可通过通信信道实现电子化分发和导人。加密的密钥的分发过程应确保密钥不被替换和修改。注:完成上述要求的方法见ISO/IEC11770-2。4. 10 密钥使用应防止密钥的未授权使用。密钥只应在其预定的位置上用于其预定的功能。然而，密钥的变形可以用于和原始密钥不同的功能。一个密钥只应用于一种功能。密钥应存在于保证系统有效运行的最少位置上。不同的交易发起设备应使用不同的密钥。当确认或怀疑某个密钥泄露时，应停止使用该密钥。9 G/T 27909.2-2011 4. 11 密钥更换当确认或怀疑密钥泄露时，密钥及其变形就应被更换。如果被怀疑的密钥是一个密钥加密密钥或能够导出其他密钥的根密钥

32、，那么在此密钥级别下的所有密钥也都应被更换。更换密钥的时间应小于成功实施宇典攻击或穷举攻击的时间。该时间将取决于攻击时采用的的技术及手段。密钥更换应在该密钥存在的所有运行位置上进行。被更换的密钥不允许再被激活使用。更换密钥有两种方法z一一分发一个新的密钥;一一对当前的密钥进行不可逆变换。如果确定或怀疑密钥泄露，那么该密钥应通过分发新密钥进行更换而不是对原始的密钥进行不可逆变换。密钥更换要求销毁l日密钥。密钥的变换应防止反向推导，即当前密钥的泄露并不会导致先前使用密钥的世露。4. 12 密钥销毁如果一个密钥的某个实例不再被激活使用，那么该实例应被销毁。密钥的电子实例可以通过擦除来销毁。然而，信息

33、还可以其他形式存在，以便该密钥随后还可再被恢复并激活使用。如果一个密码设备永久不再技人使用，那么该设备里存储的所有密钥都应被销毁。4. 13 密钥删除当一个密钥在某运行位置不再需要时，应删除该密钥。当给定位置上密钥的所有实例都被销毁时，该密钥即被删除。4. 14 密钥归挡归档的密钥只应用于验证归档前交易的合法性。在这种验证之后，应销毁实施验证所必需的密钥实例。归档的密钥不应再次投入使用。在由归档密钥加密的数据或密钥的生命周期内，归档密钥应被安全地存储。密钥归档应以不会增加使用中密钥的泄露风险的方式归挡。归档密钥应保留到密钥不再具有法律或业务用途时。4.15 密钥终止当密钥已经从它所存在的所有位

34、置上删除了的时候，密钥即被终止。随着密钥的终止，不应再存在可能会导致密钥重建的信息。5 提供密钥管理服务的技术5. 1 介绍本章描述的是可单独或组合使用的技术以提供GB/T27909. 1中介绍的密钥管理服务。某些技术提供了多种密钥管理服务。第7章中给出了密钥管理服务和技术之间的对照参考。所选择的技术应在安全密码设备中实施(见GB/T21079. 1及GB/T20547.2)，该密码设备确保了预定的技术及安全目标的实现。5.2 密钥加密G/T 27909.2-2011 密钥加密是用一个密钥加密另一个密钥的技术，所生成的被加密的密钥可在密码设备保护的环境之外得到安全地管理。用来完成这种加密的密钥

35、称为密钥加密密钥(KEK)。虽然密钥加密确保了密钥的机密性，但为了确保充分的密钥分离，防止密钥替换及确保密钥的完整性，需要其他技术与密钥加密联合使用。若被加密密钥的长度超过密钥加密密码的分组的长度，那么每个被加密密钥分组应za) 具有完整性，每一个密钥分组从被授权生戚、传输或存储时起，不能以非授权方式改变zb) 以特定方式并按照特定的顺序使用;c) 被视为一个固定的量，其中的每个分组都不能被单独操作，而其他分组保持不变;d) 不能以任何非授权的目的分开使用。5.3 密钥变形密钥变形是从单个密钥获得一个密钥集的技术，每一个变形密钥具有各自的密钥类型。该项技术提供了密钥分离，且不需要管理所需类型中

36、的每一个分离的、不相关的密钥。如图2所示，通过使用可重复过程().每一个变形密钥通过原始密钥和非秘密常量集内的一个常数来进行计算。可重复密钥计算过程在4.3. 3中描述。每一种密钥类型应对应常量集内某一惟一的常数，该密钥类型对应的密钥使用密钥变形技术由原始密钥计算得出。(句，气，c2Cj，. , Cn) 国2变形密钥计算使用可逆过程计算的变形密钥应只存在于包含原始密钥的密码设备中。密钥变形技术适用于密钥分级结构中的所有级别。用一个密钥可计算出一组不同类型的KEK.每一个KEK可用来加密一种不同类型的密钥。或者，用一个密钥也可生成一组不同类型的工作密钥。5.4 密钥衍生密钥衍生是一种由一个初始密

37、钥和非秘密可变数据生成(或导出)若干(可能是大量的)密钥的技术。其中每一个生成的密钥又作为另一种安全密码设备的初始密钥(典型的如POS终端的PIN键盘)。初始密钥被称为衍生密钥，同时每一个由它生成的密钥被称为导出密钥。密钥衍生通过为每一个密码设备生成(统计上)惟一的密钥来提供密钥分离，而无需管理大量分离的、不相关的密钥。因为当随后需要使用密钥时，它可从衍生密钥和适当的衍生数据中重新导出，所以密钥衍生就消除了将每一个初始密钥存储在收单方或接收节点的必要性。导出密钥的生成程序利用了一个不可逆过程，如图3所示，该过程使用了衍生密钥和可惟一标识目GB/T 27909.2-2011 标密码设备的数据。衍

38、生密钥不可逆过程导出密钥固3导出密钥的生成不可逆过程的使用确保了导出密钥的泄露不会导致衍生密钥和任何其他导出密钥的泄露。然而，衍生密钥的泄露会导致所有由它导出的密钥的泄露。应用可逆过程的密钥计算(见4.。不适合作为密钥衍生的方法。5.5 密钥变换密钥变换是这样一种技术，即安全密码设备(典型的如POS终端的PIN键盘)由当前密钥生成一个或多个未来的密钥并擦除当前密钥的所有痕迹，从而实现密钥更换。密钥变换通过使密码设备在元需密钥分发过程的情况下频繁更换密钥(例如，每一次交易后)，从而减轻了密钥泄露的影响。如图4所示，使用当前密钥作为不可逆密钥生成过程中的初始密钥来完成密钥变换。该过程还涉及与实施相

39、关的其他数据，例如，设备或交易相关数据，或密钥更换计数器。初始密钥| 加密计数器序列号是右面的64位数据|输入不可逆函数图4未来使用的密钥的生成即使掌握所有曾存在于该设备之外(也不存在于其他密码设备内部)的相关数据，使用不可逆过程也能确保在使用变换密钥的密码设备泄密的情况下，不会导致该设备之前使用的任何密钥的泄露。配有密钥变换装置的密码通信设备，通过以下方式之一判断该装置在任意时刻使用的密钥:a) 与装置同步执行密钥变换过程，并且存储生成的密钥供后续使用;b) 接收包含在该设备传送的交易数据中的密钥更换计数器的当前值，并由计数器和初始密钥来生成当前密钥。这个过程能够实现所有直接从初始密钥到各种

40、当前密钥的密钥变换。特别的，即使密钥更换计数器会增加到一个很大的值(例如，100万，见ANSIX9. 24第1部分:2004，附录A)，但是它所需的转换次数也很小(例如，10)。12 G/T 27909.2-2011 5.6 密钥偏移密钥偏移是每当一个新加密的密钥被传输到接收节点时，由初始密钥计算出一个新KEK的技术。该项技术可防止用先前的(但已更换的)密钥替换通信双方交换的当前密钥。用于记载更换密钥请求的递增计数器，通过一个可重复的过程(例如，模二加法)与初始KEK相结合，其生成的密钥为用以加密更换密钥的KEK，如图5所示。典型地，计数器的当前值与加密的密钥一起被传输到接收节点。计数器KEK

41、 KEKo 图5KEK偏移量(KEKo)的计算5. 7 密钥公证5.7.1 概述密钥公证是在密钥加密发生前将通信双方的标识融入KEK的一种技术。密钥公证防止了密钥替换。如果用其他通信方之间使用的加密密钥替换了正确的加密密钥，则对替换后的密钥的解密会产生一个不正确的结果。密钥公证是用通信方的标识密封密钥的方法，它通过创建一个公证人密封(NS)实现。一旦公证后，通过下面描述的方法，密钥只能在掌握了用来公证的密钥(KP)及通信方的标识的情况下才能被恢复。密钥加密密钥(KEK)或者数据加密密钥(KD)可以通过使用公证密钥(KN)加密的方式进行公证，该公证密钥(KN)是由I(p和NS进行模2加法形成的。

42、5.7.2 方法应使用惟一标识符来标识公证过程的每一方。如果有必要，标识符可复制以形成必要的16个字节。假设甲方希望给乙方发送一个密钥，设FMl为甲方标识符的高8个字节，FM2为低8个宇节，同样设T01和T02分别为乙方标识符的高8个和低8个字节。双方都已获知用于完成公证的共享秘密密钥的信息。中间密钥(Kl)是由T01与FM1连接后再与KP进行模2加法形成的。KI=KP E(T0111 FM1) 公证人密封(NS)是由T02和FM2与KI加密后的结果连接形成的。NS=eKI(T02) 11 eKI(FM2) 公证密钥KN是由KP和NS进行模2加法形成的。KN=KPE NS 则KN可用来公证(通

43、过加密)KD或者KEK。13 GB/T 27909.2-2011 5.8 密钥标记密钥标记是用相关标签来标识密码设备外存在的密钥类型的一种技术。密钥和它的标签以一种可以防止对密钥标签做不可检测的修改的方式绑定在一起。密钥标记提供密钥分离。它与密钥加密结合使用，并且允许使用单个KEK对多密钥类型加密。密钥标签由一个惟一却任意的常量构成。不同的密钥标签应被分配给每一个要被标记的密钥类型。当一个密钥在安全密码设备中生成时，作为密钥加密过程的部分，它与和密钥类型相适应的标签绑定在一起，如图6所示。带标签的密钥随后可在密码设备外存储或分发。KEK 标签=类型1标签=类型2eKEK( KiIITAGi)=

44、Tagged Key,Ki of TYPE (type) 图6带标签的密钥生成当一个带标签的密钥被传输到安全密码设备以用于特定功能时，它在设备内被解密并且密钥标签被恢复和并加以核查，如图7所示。如果密钥标签显示了该密钥类型不适合所要求的功能，则该功能应被终止。KEK 请求的操作eKEK(KIITAG) 有效的圄7带标签密钥的使用无效的密钥类型，终止操作密钥和它的标签绑定的方式取决于它们组合后的长度是否超过用于密钥加密的密码分组的长度。如果没有超过，则密钥位和标签位可串联或交叉组合，作为结果的分组被加密。如果超过了，则密钥和标签占用不同的分组来进行加密。在这种情况下，应使用链式加密模型(见ISO/IEC10116)和完整性保护技术将密钥和其标