GB T 16790.5-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第5部分 算法应用.pdf

《GB T 16790.5-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第5部分 算法应用.pdf》由会员分享，可在线阅读，更多相关《GB T 16790.5-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第5部分 算法应用.pdf（47页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.15 A 11 中华人民共和国国家标准GB/T 16790. 5-2006/180 10202-5: 1998 金融交易卡使用集成电路卡的金融交易系统的安全体系第5部分:算法应用Financial transaction cards-8ecurity architecture of financial transaction systems using integrated circuit cards-Part 5: Use of algorithms (ISO 10202-5 :1 998 ,IDT) 2006-09-18发布2007-03-01实施中华人民共和国国家质

2、量监督检验检菇总局也士中国国家标准化管理委员会1111:掠实体的唯一名响应者:目标实体的唯一名操作=1 1 :可选的数据字段:密钥标识符:数据Z进行函数f运算的结示例:A1 B 1 KIDKI KIDK*I巴K骨5 安全功能到过程类型的映射ISO 10202-2、10202-4和GB/T1 表安全功能制造加工嵌入和初始化个性化IC兼容性检查CDF(激活/停用/再激活/终止)ADF分配持卡人验证CDF静态鉴别CDF动态鉴别发卡行主机动态鉴别交易授权数据保密性交易认证6 都PIN验证实体鉴别实体鉴别实体鉴别报文鉴别报文加密交易认证CDF交易处理KE EA tl-C MA klmacl-c ME K

3、Ienczc u TC klcerr_c GB/T 16790. 5-2006/180 10202-5: 1998 安全功能表1(续过程类型ADF选择宿钥ADF选择新更数参PA D 叫一AADF KActlA_c装载ADF激活/停用/再激活/终止卡会话终止1) 根据发卡行的判断，可以单独2) 根据提供者的判断，可以单独密钥交换密钥交换ADF特定鉴别和验证PIN(个人身份标识号)验证实体鉴别实体鉴别实体鉴别实体鉴别KE KE k1kexr_A kActlA-c 持卡人验证ADF静态鉴别ADF动态鉴别SAM鉴别应用供应商鉴别PV 是AertCACZ交易授权数据保密性交易认证6 过程规范本章规定了可

4、用于不同安全使用。每个过程均允许使用多个选项，选择应基于对来自具体环境中威胁当要求保证报文是唯一的并且实现时效性的不同方法参见附录Eo在实体鉴别中，时效性是固有的，与如果密码过程建立在对称算法基础上，属于同一组的两个以上实体之间共享保密密钥，如果加密过程建立在非对称算法基础上，就应全的方法存储，并且对应的公开信息应由提供证书的可信辑岳毒品在草都彝据附录A)。目标节点上的报文的所有数据元必须被了解，以便能执行过程雨的下一步骤旬在过程期间，如果动态生成数据元，其传输就是强制性的。如果数据元已为目标节点所知，其传输就可以省略。用黑体字印刷的操作和参数是强制性的。所有强制使用的元素均在图中用箭头表示。

5、角色中描述的可选步骤并不总是与图中描述的步骤直接对应。6. 1 过程1:密钥交换CKE)发往或来自集成电路卡或SAM的密钥K或5B的安全电子传输应依据本章说明的选项之一执行。假设发起者和响应者之间已建立密码链。则自动保证时效性。保密密钥应同时在两个。如果法毛酣E做到的。在该节点以安7 G/T 16790. 5-2006/ISO 10202-5: 1998 待交换的保密密钥总是从A发送至B，但若密钥是由通信双方双向产生时例外。6. 1. 1 KE一对称一对称使用对称算法交换用于对称算法的密钥K精(见图1).KEssl =A I B I KIDK I KIDK, I e K椅CKIDK，) I e

6、KCK铮)K 通用保密密钥。K铮被交换的保密密钥。KIDK 密钥K的密钥标识符。KID旷密钥K蜂的密钥标识符。S1 eK(K必)S2 eK捋(KIDK.)S3 KEssl eK(K*) K1DK.le.俨(K1DK.)E讲KTDK. c(KIDK.) 图1密码交换一对称一对称81 A计算eK(K*)。82 选项1:A计算eK讲CKIDK斗。83 A向B发送KEss1.84 B计算dK(eK(K*)，以得到K铃。85 选项1.B计算dK铃CeK蔷(KIDK，) ，以得到KIDK， 86 选项1.B用比较KIDK，的方法验证K善的正确性。注1:步骤5中的解密可以使用比较加密的密钥标识符KIDK，的

7、方法替代。S5 选项1:B计算eK铃(KIDK，) S6 选项l:B比较eK(KIDK, ) 注2:另一可选择的方法是，可在选项l中使用单向函数。S2 选项l:A计算oK椅(KIDK，) S5 选项LB计算oK猾(KIDK，) S6 选项1.B比较oK锚(KIDK.) 6. 1. 2 KE一对称一对称一双向一时效S4 S5 S6 用对称算法双向地产生用于对称算法的密钥K幡(见图2)，实体A的实体鉴别是隐式的。KEssmt1 =BIAIKIDK脊IRBKEssmt2 =AIBIKIDK leK特CKIDK，) I eK(RA) K 通用保密密钥。K骨双向生成的保密密钥。KIDK 密钥K的密钥标识

8、符。KIDK钊密钥K骨的密钥标识符。8 G/T 16790. 5一2006/ISO10202-5: 1998 1:;: : 飞:;:=:在:.3.: :税:;t. . :悦ljjj!jjj;jjjji该法jjijj;ijjjjjjii刻S8 KEasmt2 eP B (S4 (RA) ) KID/:!eK(盯D()v(Cert) S9 PA R,j S10 K 811 KIDK S12 c(KlDK) S13 圈6密钥交换一非对称一对称-Xl向一时效GB/T 16790. 5-2006/1S0 10202-5: 1998 Sl B生成随机的RBS2 B发送KEasmt1S3 选项1:A通过验证

9、CertB来证实PB的有效性S4 A生成随机的RAS5 A计算ePB (SSA CRA) S6 A计算eRA(RB) ，以得到KS7 选项2:A计算eKCKIDx) S8 A发送KEasmt2S9 选项3:B通过验证CertA来证实P生的有效性S10 B计算vPA CdSB CePB (SSA CRA) ，以得到RASl1 B计算eRACRB) ，以得到KS12 选项2:B计算dKCeK (KIDK川，以得到K1DxS13 埠项2:B通过比较K1Dx来验证K的正确性注:另一可选择的方法是，在选项2中使用单向函数。S7 选项1.A计算oKCKID1() 812 选项2，B计算oKCKID1()

10、813 选项2，B比较oKCKID1() 6. 1. 7 KE一非对称一非对称使用非对称算法交换用于非对称算法的私钥SB(见图7)。以数字签名为目的使用该选项将保密密钥装载集成电路卡的实体应负责相应公开密钥的真实性。KEaal =B I A I KIDpB I CIDB I CertB KEaa2 =A I B I KIDpA I CIDA I CertA I KIDpB I CID旷ICertB停IePB(sSACSB) SA/PA 实体A的公私密钥对SB/PB 实体B的公私密钥对SB/凡交换的实体B公私密钥对KIDpA 密钥对SA/凡的密钥标识符KIDpB 密钥对SB/凡的密钥标识符CID

11、A CertA的证书标识符CIDB CertB的证书标识符CIDB CertB钟的证书标识符K KEaal S1 S2 v (Celtn,) Certa PB 83 ePlJ (ss (S8) 84 Certn幅人、/ 8S KEaa2 CertB.1eP8(SSA (88) v (CeItA) S6 PA S8 87 (CertB.) S8 P8 V (SB.!Pa, S9 圄7密钥空换一非对称一非对智、13 GB/T 16790. 5-2006!ISO 10202-5: 1998 Sl 选项1:B发送KEaalS2 选项l:A通过验证CertB来证实PB的有效性S3 A计算ePB (SSA

12、 (SB ) S4 A计算CertBS5 A发送KEaa2S6 选项2.B通过验证CertA来证实PA的有效性S7 B计算vPA (dSB (ePB (SSA (SB )，以得到SB销出选项3:B通过验证CertB来证实PB的有效性S9 选项3:B通过验证dSn停(ePB揭(B)=B来验证密钥对SB缉/Pn僻的正确性6.2 过程2.实体鉴别(EA)对加密节点的验证应依据本章节描述的选项之五删节假设发起者和晌胁奄ZP间已建立密码链，节点之一是集成电路卡或5AMo响应者B由发起者A进行鉴别，目的待鉴别的节点通过出示保密密钥信实体鉴别选项包括时效性和质询/实体鉴别本身不能保证随后的充分的，质询可以是

13、从质询实体可6.2. 1 EA一对称一时效采用对称算法对实体B使用EAst1 =A I B I KIDKn I EAst2 =B I A I eKB (RA) K 保密根密钥KB 实体B唯一的KIDKB 密钥KB的密钥图851 A生成随机的RA82 A向B发送EAst1S3 B得到KB84 B计算eKB(RA)S5 B向A发送EAst2S6 A得到KB或计算KB=eK(B)S7 A计算eKB(RA)14 SI S2 ) an pu -，z、a k e J飞C KO句，。onanBPD GBjT 16790.5-2006/ISO 10202-5: 1998 S8 A验证eKB(RA)注1.使用通

14、过导出过程生成的单向密钥实现防反射攻击。通过采用拥密技术导出KB的方法，在实体B等级实现密钥分离。当遐用密钥K用于实体鉴别时，采用将实体标识符A与质询相连接的方法实现防反射攻击。EAstl =A I B I KIDK I RA EAst2 = B I A I eK(RAI / A) S7 A计算eKB(RAI/A) S8 A验证eKB(RAI/A)注2.通过使用实体A唯一的导出密钥KA对质询进行加密来防范选择明文攻击aEAstl =A I B I KIDK I eKA (RA) EAst2 =B I A I eKn (RA) 31 选项1，A计算KA=eK(A) S2 A生成随机的RA33 A

15、计算eKA(RA) 34 A向B发送EAstlS5 B计算KA=eK(A)36 B计算dKA(eKA(RA刀，S7 E得到KBS8 B计算eKBCRA)89 B向A发送EAst2810 811 A计算eKB(RA)812 A验证eKB(RA)注3，在对每一报丈唯一的参送的单个报文实现鉴别。阳阳部EAstl =B I A I KIDKBI荒草马自【TB)S1 B得到KB国军蛐lS2 B得到TB阴阳阳33 B计算eKB(TB) 84 B向A发送EAstS5 A得到KB或计算86 A计算dKs(eKB( S7 A验证TB注4，将从B收到的质询应答与发起与发起者A生成的质询进行比87 A计算dKB(e

16、KB (RA) ，以88 A验iERA注5，另一可选的方法是，使用单向函数eS4 B计算oKB(RA)S7 A计算OKll(RA) S8 A验证。KlI(RA) 6.2.2 EA一对称一时效一现向实体A和B采用对称算法，使用质询应答方案进行的双向鉴别(见图的。EAstml=A I B I KIDKB I RA EAstm2=B I A I KIDKA I eKB(RA) I RB EAstm3=A I B I eKA (RB) K 保密的根密钥15 G/T 16790. 5-2006/ISO 10202-5: 1998 16 KA 实体A唯一的导出的)密钥KB 实体B唯一的(导出的)密钥KID

17、KA 密钥KA的密钥标识符KIDKB 密钥KB的密钥标识符SI RA亏()飞扩/、S2 EAstml RA KB S3 eKB (Jl) S4 k RB=宫()S5 eKB(R)/RB EAstm2 S6 S7 KB 、S8 eKB (Jl) S9 v(eKB (Jl) S10 KA Sl1 eK,j (JlB) S12 EAstm3 eKA (JlB) K,j S13 e且与(JlB)S14 c(eKA (JlB) ) SI呈圄9实体鉴别一对称一时效一双向Sl A生成随机的RAS2 A向B发送EAstm1S3 B获得KBS4 B计算eKB(RA)S5 B生成随机的RBS6 B向A发送EAst

18、m2S7 A得到KB或计算KB=eKCB)S8 A计算eKB(RA)S9 A验证eKB(RA)、S10 A得到KASl1 A计算eKA(RB)S12 A向B发送EAstm3S13 B得到KA或计算KA=eKCA)S14 B计算eKACRB)S15 B比较eKA(RB)注1:使用通过导出过程生成的单向密钥实现防反射攻击。通过采用加密技术衍生KB的方法，在实体B等级实现密钥分离。当通用保密的密钥K用于实体鉴别时，采用将实体标识符A与质询相连接的方法实现防反射攻击。EAstml =A I B I KIDK IRA EAstm2 =B I A I eK(RA!A) I RB EAstm3 =A I B

19、 I eK(RB!B) 88 A计算eKB(RA!A)G/T 16790. 52006/ISO 10202-5: 1998 89 A验证eKB(RAIIA)814 B计算eKA(RBI/B)815 B比较eKA(RBIIB)注2.通过使用实体A唯一的导出密钥KA对质询进行加密来防范己选的明文攻击。EAstm1 =A I B I KIDKB I eKA (RA) EAstm2 = B I A I KIDKA I eKB (RA) I eKB (RB) EAstm3 =A I B I eKA(RB) 81 A得到KA82 A生成随机的RA83 A计算eKA(RA)84 A向B发送EAs恤185 B

20、得到KA或计算KA=eK(A) 86 B计算dKA(eKA (RA日，以得到RA87 B得到KB88 B计算eKB(RA) S9 B生成随机的RBS10 B计算eKB(RB) S11 B向A发送EAstm2812 A得到KB或计算KB=eK(B)S13 A计算eKB(RA)S14 A验证eKB(RA)S15 A计算dKB(eKB (RB) ，以得到RBS16 A计算eKA(Rll)S17 A向B发送EAstm3818 B计算eKA(RB)S19 B比较eKA(RB)注3，在每一报文唯一的参数值(例如，时间戳TATB)被视作是安全的，足以阻止重放攻击时，可以使用两个连续的单个实体鉴别报文实现双向

21、鉴别。EAstm1 =A I B I KIDKA I eKA (TA) EAstm2=B I A I KIDKBI eKB(TB) Sl A得到KA82 A得到TAS3 A计算eKA(凡84 A向B发送EAstm1s5 B得到KA或计算KA=eK(A)86 B计算dKA(eKA (TA).以得到TA87 B验证TA88 B得到ijKB89 B得到TBS10 B计算eKIJ(TB) S11 E向A发送EAstm2S12 A得到KB或计算KB=eK(B)S13 A计算dKB(eKB (TB刀，以得到TB814 A验证TB注4，将质询应答与发起者预期的计算结果进行比较的方法可以用将解密后的质询应答与

22、发起者生成的质询进行比较的方法替代。S7 A计算dKJ(eKB (RA) .以得到RA17 G/T 16790. 5-2006/ISO 10202刷5:1998 S8 A验证RAS14 B计算DkACeKA CRB) ，以得到RBS15 B比较RB注5.另一可选的方法是，使用单项函数。S4 S8 S9 Sl1 S14 S15 81 82 B计算oKBCRA) A计算oKBCRA)A验证oKBCRA) 固10进行的实体鉴别(见回10)。、卡)是否拥有只能由密钥所有者产生81 82 83 A使用鉴别机构的公开密钥验证CertB以证实凡的有效性84 A通过计算vPB (SSB (Z)来验证数字签名6

23、.2.4 EA-非对称一时效18 通过采用非对称算法的质询应答方案而对实体B进行的鉴别(见图11)。EAat1口AI B I RA EAat2 =B I A I KIDpB I CIDB I CertB I sSB(A/ /RA) SB/PB 实体B的公私密钥对KIDpB 密钥对SB/PB的密钥标识符CIDB CertB的证书标识符GB/T 16790.5-2006/180 10202翩5:1998 S4 S5 81 RA亏()S2 EAat1 1 RA v(Cerln) 服绍悠地跑PB RA v(R) 发送EAat111 :A通过验证CertB来证实PB自/1 SSBI!R) sSn (AI

24、!RA) I EAat2 83 84 前将质询者A的身份附加在RA.重放攻击时，可以使用从B向A发的实体A和B的双向鉴别(见图12)。EAatml =A I B I RA EAatm2 = B I A I KIDpB I CIDB I CertB I RB I SSB CA/ /RA) EAatm3 =A I B I KIDpA I CIDA I CertA I SSA CB/ /RB) SA/PA 实体A的公私密钥对SB/PB 实体B的公私密钥对KIDpA 密钥对SA/PA的密钥标识符KIDpB 密钥对SB/PB的密钥标识符CIDA CertA的证书标识符CIDB CertB的证书标识符19

25、 G/T 16790.5-2006/180 10202-5: 1998 20 SI R亏()飞-./ S2 EAatml RA sSB (A.I/R) S3 85 cfAC) 86 圈13报文鉴别一对称Sl 选项1:A计算KA=eKCA)S2 A计算mKA(Z)S3 A向B发送MAs1S4 B计算KA白eK(A)S5 B计算mKA(Z)S6 B比较mKA(Z)注:对保密的根密钥K的持有利对唯一的导出密钥KA的使用隐含了对发起者的鉴别。报文鉴别生成和验证函数之间的密码分离防止实体B对实体A初始化的报文生成有效的报文鉴别码。当通用密钥K用于报文鉴别时，步骤1和4中的密钥衍生不再有必要使用。MAs1

26、 =A I B I KIDKIZ I mK(Z) 6.3.2 MA一对称一时效采用对称算法预防重放攻击的报文鉴别(见图14)。21 GB/T 16790. 5-2006/180 10202号:1998 MAst1 = B I A I RB MAst2 =A I B I KJDKA I Z I mKA(RBI/Z) Z 待鉴别的数据K 保密的根密钥KA 实体A的唯一的导出密钥KIDKA 密钥KA的密钥标识符当普通MAst1 =B I MAst2 = A I B I K 6.3.3 MA一非对称通过非对称算法计算数字签名进行的报文鉴别见图15)。81 82 fen-eo cococo 的鉴别。报文

27、鉴别生成和验证功能之间生不再有必要使用。响应者获得密码证据，即发起者巳发送报文来糠的不可否认)。该选项与6.5. 2中描述的采用非对称算法的交易认证相同。MAa1 =A I B I KJDpA I CIDA I CertA I Z I SSA (Z) Z 待鉴别的数据SA/PA 实体A的公私密钥对KIDpA 密钥对SA/PA的密钥标识符CJDA CertA的证书标识符22 GB/T 16790. 5-2006/ISO 10202-5: 1998 S1 sS (Z) 但阳alI Z/SSA(再v(Ce叫)83 P A V (sSA (Z) 84 Sl B生S2 B向AS3 A计算数字签名sSA(

28、RBI/Z)S4 A向B发送MAat2S5 选项l:B通过验证CertA来证实PA的有效性S6 B通过计算vPA (SSA CRBI /Z)来验证数字签名6.4 过程4:报文加密(ME)对送人或来自集成电路卡的保膏数据的加密应依据本节描述的选项之一进行实施。假设发起者和响应者之间已经建立密码链。具有保密性要求的报文Z从A发送至B。6.4. 1 ME一对膏、采用对柏:算法的报文加密(见图17)。1A句bqJQUQUQU 6.3. 81 82 85 V (SSA (Rs/IZ) S6 23 G/T 16790. 5-2006/ISO 10202号:1998 MEs1 =A I B I KIDK I

29、 eK(Z) Z 待加密的数据K 通用密钥KIDK 密钥K的密钥标识符81 eK(Z) 飞-/、82 岛fEs1eK(Z) Z 固17报文加密一对称Sl A计算eK(Z)S2 A向B发送MEs1S3 B计算dK(eK(Z)，以得到Z注:报文的来源隐含在保密密钥K的信息的证据中。6.4.2 ME一对称一时效采用对称算法防止重放攻击的报文加密(见图18)。MEst1 = B I A I RB MEst2 =A I B I KIDK I eK(RB/ /Z) Z 待加密的数据K 通用密钥KIDK 密钥K的密钥标识符83 eK (JlBI/Z) =/.:ISO，非ISO.=例如:aut，mac，enc

30、，.=/:例如:DES，MAA，RSA模式:例如:ECB，CBC，CFB参数:例如:密钥长度，轮数.:例如:非对称密钥，钥，KEK，根密钥。.:密钥集号附录(资料性注:为了进行密钥交换，每一个加密密钥和交换的密钥都有其自身的密钥标识符。在密钥加密密钥受到进一步限制的情况下，可能需要根据使用的技术在密钥标识符上附加额外的信息。B.2 证书标识符34 证书标识符CID包含可信方正确验证证书所使用的有关加密算法和密钥管理的所有必要信息。= I . :可信方的唯一名. :密钥对STP/PTP的密钥标识符附录C(资料性附录)威胁矩阵GB/T 16790. 5-2006/180 10202-5: 1998

31、 表C.l指出了本部分描述的安全机制在零售银行业务环境中如何依靠采取的选项预防不同的威胁。注:威胁矩阵显示了典型过程的保护特性。然而，这种保护取决于己通过EA和MA的时效性选项来提供抗重放攻击。威胁身份窃听数据窃听伪装重放篡改否认表c.1 实体鉴别(对称/非对称，时效，双向)。例如，35 GB/T 16790. 5-2006/1S0 10202-5: 1998 附录D(资料性附录)IS0安全服务和安全机制在所有与安全相关的JTC1 ISO标准和绝大多数与EDI相关的文件中均参考了GB/T9387. 20 因此，本附录将着重脱明GB/T9387.2的基本安全体系摘要。注:该附录仅摘要说明了与集成

32、电路相关的GB/T9387.2子集的安全体系。GB/T 9387. 2中的安全服务将与本部分包含的安全功能进行比较。GB/T9387.2中用于实现安全功能的技术被称作安全机制，安全机制将与本部分中的过程进行比较。表D.1指出了GBjT 9387.2中的名称与本部分的名称之间的关系。本部分比GB/T9387.2更为具体，原因是为每一安全机制(过程)提供了详细的技术说明(过程选项)。表D.1 安全功能和过程对IS0安全服务和机制的映射安全服务(安全功能安全机制(安全过程)GB/T 9387.2 本部分GB/T 9387. 2 本部分安全服务安全功能安全机制安全过程选项IC卡参数更新密钥交换KE 对

33、称ADF参数更新非对称时效访问控制持卡人确认访问控制PIN/口令确认PV 明文形式的加密的实体鉴别IC卡鉴别数字签字实体鉴别EA 对称SAM/主机鉴别鉴别非对称CAD鉴别双向ADF鉴别时效数据完整性交易授权数据完整性报文鉴别MA 对称交易确认非对称时效不可否认性交易认证数字签名交易认iETC 对称交易记录公证非对称双向数据保密性数据保密性加密报文加密ME 对称非对称时效36 GB/T 16790.5一2006/1S0102025: 1998 E. 1 原则可由以下几点提供时效性:附录E(资料性附录时效性一在报文中增加一些唯一参数，例如，序列号，时间戳或随机数。在使用时间戳或序列号时，通信各方应

34、预先建立同步。一一一由发起者生成质询;女日果预先未在各方之间建立同步，就必需使用诙方法。对质询的应答应该不可预测，这使采用重放进行的假冒被接收的概率很小。响应者应使用质询作为应答报文的计算的输人。这最后一方法需要额外的通信井被作为单独的选项。一-对称算法专门的密钥管理技术，它为每个报文产生唯一的密钥。E.2 技术有不同的方法可以使基于质询应答方案的时效性选项与其他任何的过程相结合。在两种技术同时适用于对数据进行签字或加密的对称和非对称算法:a) 随机质询与待签名或加密的数据sS(R/Z)或eKCR/Z)连接。这种情况下，随机质询加密连接到数据。响应者应在执行过程前验证随机质询。该技术的优点是时

35、效性和报文鉴别(或密钥验证)同时实现。b) 随机质询独立于数据(sS(Z)和sS(R)或eK(Z)和eK(R)进行签名或加密。这种情况下，它应是硬件或软件系统在继续执行数据处理之前验证随机质询的整体组成部分。在密钥交换过程中，使用待交换密钥对随机质询加密可以同时实现时效性和密钥完整性。对于对称算法，基于密钥管理技术的其他三个替代方案是可能的:c) 提供安全功能的工作密钥可以从根密钥K(eK(R)加密的随机质询导出。当该工作密钥用来提供保密性服务时，该技术应与报文鉴别(密钥确认)连用。任何工作密钥的世露均不会泄露根黯钥。d) 提供安全功能的工作密钥通过根密钥K和随机质询的异或运算获得(K异或R)

36、。当该工作密钥用来提供保黯性服务时，该技术应与报文鉴别(密钥确认)连用。使用异或代替加密的缺点是，根据同一根密钥变形而得到的所有密钥由一个计算出另一个是可能的。如果任何一个这样的密钥泄露，其他所有密钥都将泄露。因此，不推荐使用密钥变形。e) 提供安全功能的工作密钥通过这样一种方法计算，它使每个报文均是唯一的。对每一个报文密钥管理方案的唯一密钥的描述见GB/T16790.7 0 37 GB/T 16790. 5-2006/ISO 10202毛:1998 附景F(资料性附录)参考文献GB/T 9387. 2-1995 信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt 180 74

37、98-2:1989) GB/T 15843.1-1999 1997) GB/T 15843. 2-1 (idt 180/IEC 9798町GB/T 15843 (idt 180/IEC GB/T 15鸥.构(idt18 GB/ 1997) I C盟GB/靠酣如8.1-20001994) GB/ Cidt 180/1 18098 (retaiD。1809992-and structures 38 第1部分:概述(idt180/IEC 9798-1: 2部分z采用对称加密算法的机制安全技术分:用非对称签名技术的机制4部3:采用密码校验函数的机制函数的数据完整性机制第1部分:概念与结Cidt 180

38、/IEC 10116: Cidt 180/IEC 10118-1: n位块密码的散列函数Requir嗒bent睛在ormessage authentication be醋een晶eintegrated circuit card and Functions, messages C co GB/T 16790.5-2006/180 10202-5: 1998 附录G(资料性附录)过程选项和功能表G.l说明对称和非对称两种类型的算法均能满足所有的安全过程要求。表G.2提供了两个实体使用吧腥瞌罩执行安全过程所需的不同运算和密钥的概述。类型对称CADj SAMj 主机鉴别交易授权/确认民报文鉴别MA 非

39、对称l时效I曰:王向时效时效，双向对称时效非对称|一时效功能的映射ME B ,eK , d5, h I g(-dK , c Ig仆，dK，cs5 gC ), vP, c g( ) ,s5 gC) , vP, c , 55 s5, g( ), vP ,c mK eK.mK ,c mK g( ),eK ,mK ,c s5, h vP,h sS, h g( ),vP ,h TC PV J J J |密钥A密钥BK K K K K K PB ,SA PA .5D PB ,SA PA , 5D PB ，5 PA ,5D K IK K K PB 58 PB 5B PB ,5A S目，PAK K K K S

40、A PA SA PA 39 GB/T 16790. 5-2006/ISO 10202-5: 1998 表G.2C续)安全功能过程类型算法选项技术A技术B密钥A密钥B类型类型数据保密性报文加密ME 对称eK dK K K 时效eK g() ,dK ,c K K 非对称eP dS PB SB 时效eP g( ) ,dS ,c PB Sn 交易认证/记录交易认证TC 对称mK mK,c K K 非对称sS , h vP,h SA PA 双向sS, h, vP, c vP,h ,sS SA PB PA ,SB IC卡确认非对称sS , h vP,h SA PA 持卡人确认PIN(个人PV 对称eK d

41、K ,c K K 身份标识时效dK , eK g( ),eK,dK ,c K K 号)验证非对称g( ), eP dS,c PB SB 时效g( ), eP g( ) ,dS,c PB Sn 40 GB/T 16790. 5-2006/1S0 10202-5: 1998 附录H(资料性附录)IC卡类型对过程选项的映射为了提高五操作性，第6章说明的过程选项被分成包括每一过程类型选项的子集，见表H.10埠项措类型分组，这些类型说明它们是否可在具有动态对称或非对称计算能力的IC卡中实行:类型1.仅对称加暗算法类型2:对称密码和非对称非密码算法类型3:对称和非对称密码算法以此方法，可以在具有不同复杂程

42、度和戚本的IC卡范围中进行选择。在最简化的形式中，类型1的IC卡应只适应过程:6. 1. 1 KEss 6.2.1 EAst或6.2.3EAa 6.3.1 MAs 6.5.1 TCs 其中MAs和TCs基本上是相同的功能，且IC卡不必生成随机号。襄H.1 IC卡类型对过程选项的映射类型特性考虑事项类型1使用对称密码算法1.在假设IC卡是物理安全时，可以支6. 1. 1 执行e持过程KE，EA，MA，ME，TC和PV。6. 1. 2 2.IC卡可不通过计算得到EAa.6.2.1 3. TC与MA等同。6.2.2 4.可以使用佳CPU实现程序。6.2.3 6. 3. 1 6. 3. 2 6.4.1

43、 6.4.2 6. 5. 1 6. 6. 1 6.6.2 类型2使用对称密码算法1.可支持过程KE，EA, MA , ME , TC 6. 1. 1 和数字签名算法和PV，6. 1. 2 执行。2.由对称密码算法支持加密功能e通6. 1. 3 过数字签名支持EA和TC。6.2.4 3. TC用于不可否认性。6.2.5 4.可以使用8-位CPU实现程序。6. 3. 1 6. 3. 2 6.4. 1 I 6.4.2 6.5.2 6. 5. 3 6. 6. 1 6. 6. 2 过程选项KEss KEssmt EAst EAstm EAa MAs MAst MEs MEst TCs PVs PVst

44、KEss KEssmt KEsa EAat EAatm MAs MAst MEs MEst TCa TCam PVs PVst 41 GB/T 16790. 5-2006/ISO 10202-5: 1998 类型类型342 特性使用对称密码算法例如，晗希函数和非对称密码算法执行。表H.1 (缉)考虑事项1.可支持过程KE，EA, MA, ME. TC I 6. 1. 4 和PV0 I 6. 1. 5 2. TC用于不可否认性。I6. 1. 6 3.执行需要具有RSA/EIGamal 硬件逻I6. 1. 7 辑的IC卡。I6.2.4 过程选项KEas KEasm KEasmt KEaa EAat

45、 6.2.5 EAatm 6.3.1 MAs 6.3.2 MAst MEa MEat TCa gmFdiNONOFOmMDON-m.omhFH阁。华人民共和国家标准金融交易卡使用集成电路卡的金融交易系统的安全体系第5部分:算法应用GB/T 16790. 5-20061ISO 10202-5: 1998 国由19号中国标准出版社出版发行北京复兴门外三旦河北街16号邮政编码:100045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张3字数86千字2007年3月第一次印刷开本880X 1230 1/16 2007年3月第一版定价32.00元4峰书号:155066 1-29022 如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533GB/T 16790.5-2006