1 范围

      GB/T 37033的本部分规定了采用密码技术的电子标签和读写器及其通信的密码安全要素，规定了不同安全级别的射频识别系统对电子标签和读写器及其通信的密码安全技术要求，并规定了电子标签与读写器之间通信的密码安全实现方式。

      本部分适用于采用密码安全技术的电子标签和读写器的设计、实现、生产制造、测评和应用，以及射频识别系统中电子标签与读写器间通信的设计、实现、测评和应用。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 37033.1-2018 信息安全技术 射频识别系统密码应用技术要求 第1部分：密码安全保护框架及安全级别

      GB/T 37033.3-2018 信息安全技术 射频识别系统密码应用技术要求 第3部分：密钥管理技术要求

      GM/T 0008-2012 安全芯片密码检测准则

      GM/T 0040-2015 射频识别标签模块密码检测准则

3 术语和定义

      GB/T 37033.1-2018中界定的术语和定义适用于本文件。

4 符号和缩略语

      SAM：安全存取模1块（Secure Access Module）

      SM1：SM1算法（SMlalgorithm）

      SM2：SM2算法（SM2algorithm）

      SM3：SM3算法（SM3algorithm）

      SM4：SM4算法（SM4algorithm）

      SM7：SM7算法（SM7algorithm）

      UID：唯一标识符（UniqueIDentifier）

      ||：数据连接符，将信息串联，表示左侧和右侧数据拼接在一起形成一个新的数据

      ＋：比特异或

5 概述

      射频识别系统密码安全由保密性、完整性、抗抵赖、身份鉴别、访问控制、安全审计和密码配置等安全要素构成。根据射频识别系统密码应用安全级别，电子标签和读写器及其通信应满足相应的安全要素及技术要求，如图1所示。

图1 电子标签和读写器及其通信密码安全示意图

      附录A给出了一个电子标签芯片设计实例。

      附录B给出了一种读卡器密码安全应用实例。

      附录C给出了采用对称分组密码算法的双向身份鉴别与流加密应用实例。

      附录D给出了采用非对称密码算法的双向身份鉴别和密钥协商应用实例。

6 密码安全要素

6.1 电子标签密码安全要素

6.1.1 保密性

6.1.1.1 存储信息的保密性

      电子标签对存储在电子标签内的敏感信息应采用密码算法进行加密保护，确保除合法读写器外，其余任何读写器不能获得该数据。

      存储信息的保密性保护应采用密码算法加密完成。

6.1.1.2 传输信息的保密性

      电子标签与读写器通信时，电子标签对传输的敏感信息应采用密码算法进行加密保护，用于保证该传输数据在被截获后无法得到明文数据，达到数据传输的保密性要求。

      传输信息保密性保护应通过对传输的明文数据进行加密完成，采用序列密码加密或分组加密的方式进行。

      传输信息保密性的实现过程见8.1。

6.1.2 完整性

6.1.2.1 存储信息的完整性

      电子标签应采用密码算法对存储在电子标签内的敏感信息进行校验计算，确保存储数据的完整性。

      存储信息完整性保护应采用密码算法，通过对存储的数据加校验码的方式进行。具体方式是在存储数据的同时存储该数据相关的校验码。

      采用对称密码算法或密码杂凑函数计算校验码时，实现方式见8.2。

      采用非对称密码算法产生的数字签名可用于数据完整性校验。

6.1.2.2 传输信息的完整性

      电子标签与读写器通信时，电子标签应采用密码算法对传输的数据进行校验计算，以发现数据被篡改、删除和插入等情况，达到传输过程中的数据完整性要求。

      传输信息的完整性实现方式见8.2。

6.1.3 抗抵赖

6.1.3.1 抗电子标签原发抵赖

      抗电子标签原发抵赖是指标签信息的原发者（读写器或第三方）应采用密码算法对写入电子标签内的数据进行数字签名操作，确保产生该数字签名的原发者不能成功地否认曾经生成过该数据。

      电子标签应通过存储标签信息原发者产生的数字签名来实现抗电子标签原发抵赖功能。

6.1.3.2 抗电子标签抵赖

      支持抗电子标签抵赖时，电子标签应具有产生数字签名功能。

6.1.3.3 抗读写器抵赖

      电子标签具有抗读写器抵赖功能时，电子标签应能够对读写器产生的数字签名进行验证，达到抗读写器抵赖的要求。

6.1.4 身份鉴别

6.1.4.1 唯一标识符鉴别

      唯一标识符鉴别应采用与电子标签唯一标识符相关的验证码鉴别方式。

      唯一标识符鉴别需要在电子标签中存储UID以及消息鉴别码（MAC），该MAC是由UID与相关应用信息关联后应采用密码算法计算产生，并在发行电子标签时写入。

      唯一标识符鉴别的实现方式见8.3.1。

6.1.4.2 电子标签对读写器的挑战响应鉴别

      电子标签对读写器的挑战响应鉴别的实现方式见8.3.2.1。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37033.2-2018 信息安全技术 射频识别系统密码应用技术要求 第2部分：电子标签与读写器及其通信密码应用技术要求》