1 范圍

      GB/T 37033的本部分規(guī)定了采用密碼技術的電子標簽和讀寫器及其通信的密碼安全要素，規(guī)定了不同安全級別的射頻識別系統(tǒng)對電子標簽和讀寫器及其通信的密碼安全技術要求，并規(guī)定了電子標簽與讀寫器之間通信的密碼安全實現(xiàn)方式。

      本部分適用于采用密碼安全技術的電子標簽和讀寫器的設計、實現(xiàn)、生產(chǎn)制造、測評和應用，以及射頻識別系統(tǒng)中電子標簽與讀寫器間通信的設計、實現(xiàn)、測評和應用。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 37033.1-2018 信息安全技術 射頻識別系統(tǒng)密碼應用技術要求 第1部分：密碼安全保護框架及安全級別

      GB/T 37033.3-2018 信息安全技術 射頻識別系統(tǒng)密碼應用技術要求 第3部分：密鑰管理技術要求

      GM/T 0008-2012 安全芯片密碼檢測準則

      GM/T 0040-2015 射頻識別標簽模塊密碼檢測準則

3 術語和定義

      GB/T 37033.1-2018中界定的術語和定義適用于本文件。

4 符號和縮略語

      SAM：安全存取模1塊（Secure Access Module）

      SM1：SM1算法（SMlalgorithm）

      SM2：SM2算法（SM2algorithm）

      SM3：SM3算法（SM3algorithm）

      SM4：SM4算法（SM4algorithm）

      SM7：SM7算法（SM7algorithm）

      UID：唯一標識符（UniqueIDentifier）

      ||：數(shù)據(jù)連接符，將信息串聯(lián)，表示左側和右側數(shù)據(jù)拼接在一起形成一個新的數(shù)據(jù)

      ＋：比特異或

5 概述

      射頻識別系統(tǒng)密碼安全由保密性、完整性、抗抵賴、身份鑒別、訪問控制、安全審計和密碼配置等安全要素構成。根據(jù)射頻識別系統(tǒng)密碼應用安全級別，電子標簽和讀寫器及其通信應滿足相應的安全要素及技術要求，如圖1所示。

圖1 電子標簽和讀寫器及其通信密碼安全示意圖

      附錄A給出了一個電子標簽芯片設計實例。

      附錄B給出了一種讀卡器密碼安全應用實例。

      附錄C給出了采用對稱分組密碼算法的雙向身份鑒別與流加密應用實例。

      附錄D給出了采用非對稱密碼算法的雙向身份鑒別和密鑰協(xié)商應用實例。

6 密碼安全要素

6.1 電子標簽密碼安全要素

6.1.1 保密性

6.1.1.1 存儲信息的保密性

      電子標簽對存儲在電子標簽內(nèi)的敏感信息應采用密碼算法進行加密保護，確保除合法讀寫器外，其余任何讀寫器不能獲得該數(shù)據(jù)。

      存儲信息的保密性保護應采用密碼算法加密完成。

6.1.1.2 傳輸信息的保密性

      電子標簽與讀寫器通信時，電子標簽對傳輸?shù)拿舾行畔捎妹艽a算法進行加密保護，用于保證該傳輸數(shù)據(jù)在被截獲后無法得到明文數(shù)據(jù)，達到數(shù)據(jù)傳輸?shù)谋Ｃ苄砸蟆?/p>

      傳輸信息保密性保護應通過對傳輸?shù)拿魑臄?shù)據(jù)進行加密完成，采用序列密碼加密或分組加密的方式進行。

      傳輸信息保密性的實現(xiàn)過程見8.1。

6.1.2 完整性

6.1.2.1 存儲信息的完整性

      電子標簽應采用密碼算法對存儲在電子標簽內(nèi)的敏感信息進行校驗計算，確保存儲數(shù)據(jù)的完整性。

      存儲信息完整性保護應采用密碼算法，通過對存儲的數(shù)據(jù)加校驗碼的方式進行。具體方式是在存儲數(shù)據(jù)的同時存儲該數(shù)據(jù)相關的校驗碼。

      采用對稱密碼算法或密碼雜湊函數(shù)計算校驗碼時，實現(xiàn)方式見8.2。

      采用非對稱密碼算法產(chǎn)生的數(shù)字簽名可用于數(shù)據(jù)完整性校驗。

6.1.2.2 傳輸信息的完整性

      電子標簽與讀寫器通信時，電子標簽應采用密碼算法對傳輸?shù)臄?shù)據(jù)進行校驗計算，以發(fā)現(xiàn)數(shù)據(jù)被篡改、刪除和插入等情況，達到傳輸過程中的數(shù)據(jù)完整性要求。

      傳輸信息的完整性實現(xiàn)方式見8.2。

6.1.3 抗抵賴

6.1.3.1 抗電子標簽原發(fā)抵賴

      抗電子標簽原發(fā)抵賴是指標簽信息的原發(fā)者（讀寫器或第三方）應采用密碼算法對寫入電子標簽內(nèi)的數(shù)據(jù)進行數(shù)字簽名操作，確保產(chǎn)生該數(shù)字簽名的原發(fā)者不能成功地否認曾經(jīng)生成過該數(shù)據(jù)。

      電子標簽應通過存儲標簽信息原發(fā)者產(chǎn)生的數(shù)字簽名來實現(xiàn)抗電子標簽原發(fā)抵賴功能。

6.1.3.2 抗電子標簽抵賴

      支持抗電子標簽抵賴時，電子標簽應具有產(chǎn)生數(shù)字簽名功能。

6.1.3.3 抗讀寫器抵賴

      電子標簽具有抗讀寫器抵賴功能時，電子標簽應能夠?qū)ψx寫器產(chǎn)生的數(shù)字簽名進行驗證，達到抗讀寫器抵賴的要求。

6.1.4 身份鑒別

6.1.4.1 唯一標識符鑒別

      唯一標識符鑒別應采用與電子標簽唯一標識符相關的驗證碼鑒別方式。

      唯一標識符鑒別需要在電子標簽中存儲UID以及消息鑒別碼（MAC），該MAC是由UID與相關應用信息關聯(lián)后應采用密碼算法計算產(chǎn)生，并在發(fā)行電子標簽時寫入。

      唯一標識符鑒別的實現(xiàn)方式見8.3.1。

6.1.4.2 電子標簽對讀寫器的挑戰(zhàn)響應鑒別

      電子標簽對讀寫器的挑戰(zhàn)響應鑒別的實現(xiàn)方式見8.3.2.1。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權網(wǎng)站購買標準正版。