银行业务 密钥管理(零售) 第1部分：一般原则 GBT 27909.1-2011.pdf

ICS35.240.40A11B中华人民共和国国家标准GB/T27909.1-2011银行业务密钥管理（零售）第1部分：一般原则Banking-Key management(retail)-Part 1:Principles(IS011568-1:2005,MOD)2011-12-30发布2012-02-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T27909.1-2011引言GB/T27909描述了在零售金服务环境下的密钥安全管理过程，这些密钥用于保护诸如收单方和受理方之间，收单方和发卡方之间的报文。本部分描述了在零售金融服务领域内适用的密钥管理要求，典型的服务类型有销售点/服务点(POS)借贷记授权和自动柜员机(ATM)交易。密钥管理是为授权通信方提供密钥，且在密钥被销毁之前，使密钥持续处于安全流程控制下的过程。数据的安全性依赖于防止密钥的泄露以及未授权的修改、替换、插入或终止，因而，密钥管理涉及到密钥的生成、存储、分发、使用和销毁各个程序。通过对这些程序的规范化，也为制定审计追踪规范奠定了基础。本部分没有提供区分使用同一密钥的实体的方法。密钥管理过程的最终细则需要由有关的通信方协商决定，并应就个体的身份及其职责达成协议，通信方要对此细则承担相应的职责。GB/T27909本身没有涉及个体职责的分配，这是密钥管理在具体实施中需要考虑的。