信息安全技術 射頻識別系統密碼應用技術要求 第3部分:密鑰管理技術要求8.2 非對稱密鑰管理應用要求
8.2.1 鑒別服務
電子標簽和讀寫器之間可通過數字簽名實現身份鑒別、數據原發鑒別和抗抵賴等鑒別服務。
注1:如果非對稱密鑰對不是由隨后使用該私鑰來創建數字簽名的設備產生的,則系統可能不能提供抗抵賴服務。
私鑰用于產生數字簽名,應保護私鑰的機密性。因此,私鑰不應在安全密碼設備(如電子標簽、SAM等)外使用。
公鑰用于驗證簽名,在每次使用前,驗證方應驗證公鑰的真實性和完整性,或者在使用過程中應以能確保公鑰完整性和真實性的方式進行公鑰的維護。
應實施物理控制和邏輯控制來防止密鑰的非授權使用,要求:
a) 一個密鑰只能用于一個功能;
b) 一個密鑰只能在預期的位置用于預期的功能;
c) 私鑰應存于保持系統有效運行的最少位置上;
d) 在使用周期結束或者已知或懷疑私鑰已經泄露時,應停止密鑰對的使用。
為防止信息重放,應使用序列號或時間戳。
8.2.2 機密性
電子標簽和讀寫器之間數據傳輸可通過加解密來實現數據的機密性保護。
如果數據明文由任何可訪問到公鑰的實體進行加密,則產生的密文只能由對應該公鑰的私鑰的持有者進行解密來恢復明文。非對稱加密具有單向性,即一個密鑰對只在單一通信方向上提供機密性服務。如果需要兩個方向上的機密性,則兩個進行通信的實體各自需要擁有一個密鑰對。
因為加密密鑰是公開的,所以收到的密文不能提供任何關于消息來源的可靠信息。因此,采用非對稱密碼算法的加密本身不能提供身份鑒別服務。
8.2.3 完整性
電子標簽和讀寫器之間數據傳輸可通過數字簽名來實現數據的完整性性保護,密鑰使用要求見8.2.1。
推薦文章: