GB/T 35290-2023 信息安全技术 射频识别（RFID）系统安全技术规范

　　ICS 35. 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 35290—2023代替 GB/T35290—2017

　　信息安全技术 射频识别(RFID)系统

　　安全技术规范

　　Information securitytechnology—Securitytechnicalspecification forradio

　　frequencyidentification(RFID) systems

　　2023-12-28发布 2024-07-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 35290—2023

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 符号和缩略语 3

　　5 概述 3

　　5. 1 系统组成 3

　　5. 2 系统安全风险 4

　　6 系统安全分级 5

　　7 安全技术要求 5

　　7. 1 电子标签安全 5

　　7. 2 阅读器/读写器安全 7

　　7. 3 空中接口通信链路安全 9

　　7. 4 网络传输通信链路安全 10

　　7. 5 管理单元安全 10

　　8 测试条件 13

　　8. 1 一般要求 13

　　8. 2 测试环境条件 14

　　8. 3 通用测试设备 14

　　9 测试评价方法 15

　　9. 1 电子标签安全测试评价 15

　　9. 2 阅读器/读写器安全测试评价 20

　　9. 3 空中接口通信链路安全测试评价 26

　　9. 4 网络传输通信链路安全测试评价 30

　　9. 5 管理单元安全测试评价 32

　　参考文献 40

　　图 1 射频识别系统示意图 3

　　表 1 射频识别系统的安全风险 4

　　Ⅰ

　　GB/T 35290—2023

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　本文件代替 GB/T 35290—2017《信 息 安 全 技 术 射 频 识 别(RFID) 系 统 通 用 安 全 技 术 要 求》, 与GB/T 35290—2017相比 ,除结构调整和编辑性改动外 ,主要技术变化如下 :

　　— 更改了范围(见第 1 章 ,2017年版的第 1 章) ;

　　— 增加并更改了术语和定义(见第 3 章 ,2017年版的 3. 1) ;

　　— 更改了符号和缩略语(见第 4章 ,2017年版的 3. 2) ;

　　— 更改了系统组成(见 5. 1,2017年版的 4. 1) ;

　　— 增加了系统安全风险(见 5. 2) ;

　　— 更改了系统安全分级(见第 6章 ,2017年版的 4. 2) ;

　　— 更改了电子标签安全要求的数据校验要求(见 7. 1. 2. 6,2017年版的 5. 1. 2. 6) ;

　　— 增加了阅读器/读写器安全技术要求的标识唯一性 、安全审计和安全审计机密性保护要求(见7. 2. 1. 1、7. 2. 1. 9、7. 2. 2. 4) ;

　　— 增加了空中接口通信链路安全技术要求的数据完整性要求(见 7. 3. 2. 1) ;

　　— 删除了网络传输通信链路安全技术要求的完整性恢复机制要求(见 2017年版的 5. 4. 2. 3) ;

　　— 增加了管理单元安全中关于授权的程序装载与更新 、恶意代码防范 、可信验证 、数据备份恢复 、安全审计的基本级要求(见 7. 5. 1. 3、7. 5. 1. 7、7. 5. 1. 8、7. 5. 1. 9、7. 5. 1. 10) , 以及关于访问控制 、数据完整性 、数据保密 、可信验证 、入侵防范 、恶意代码防范 、可恢复性 、安全审计的增强级要求 (见 7. 5. 2. 1、7. 5. 2. 2、7. 5. 2. 3、7. 5. 2. 4、7. 5. 2. 9、7. 5. 2. 10、7. 5. 2. 11、7. 5. 2. 12) ,删除了可理解格式的增强级要求(见 2017年版的 5. 5. 2. 1. 3) ;

　　— 增加了测试环境要求(见第 8章) ;

　　— 增加了测试评价方法(见第 9章) 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国信息安全标准化技术委员会(SAC/TC 260) 提出并归 口 。

　　本文件起草单位 :公安部第三研究所 、中国电子技术标准化研究院 、北京中科国技信息系统有限公司 、上海伊世智能科技有限公司 、上海临港电力电子研究有限公司 、腾讯云计算(北京)有限责任公司 、珠海复旦创新研究院 、郑州信大捷安信息技术股份有限公司 、上海化工院检测有限公司 、长扬科技(北京)有限公司 、西安交大捷普网络科技有限公司 、中国汽车工程研究院股份有限公司 、中国网络安全审查技术与认证中心 、广东技安科技有限公司 、浙江工业大学 。

　　本文件主要起草人 :刘彩霞 、顾健 、谢芳艺 、张艳 、刘丹丹 、焦志皓 、李琳 、李哲 、戴杰 、刘虹 、张东举 、刘宇澄 、李建慧 、刘海涛 、王俊宇 、刘为华 、王思怿 、赵华 、何建锋 、刘冲 、申永波 、何红亮 、顾国民 。

　　本文件及其所代替文件的历次版本发布情况为 :

　　— 2017年首次发布为 GB/T 35290—2017;

　　— 本次为第一次修订 。

　　Ⅲ

　　GB/T 35290—2023

　　信息安全技术 射频识别(RFID)系统

　　安全技术规范

　　1 范围

　　本文件规定了射频识别(RFID)系统安全技术要求 ,包括电子标签 、阅读器/读写器 、空中接口通信链路 、网络传输通信链路管理单元等的安全要求 ,给出了测试条件和测试评价方法 。

　　本文件适用于射频识别(RFID)系统的安全功能设计 、开发 、使用 、测试和评估 。

　　本文件不适用于 5. 8 GHz频段的射频识别(RFID)系统 。

　　注 : 本文件不涉及物理攻击安全风险的安全功能要求或安全性能要求 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 20271 信息安全技术 信息系统通用安全技术要求

　　GB/T 28925 信息技术 射频识别 2. 45 GHz空中接口协议

　　GB/T 29261. 3 信息技术 自动识别和数据采集技术 词汇 第 3部分 :射频识别

　　GB/T 29768 信息技术 射频识别 800/900MHz空中接口协议

　　GB/T 32915 信息安全技术 二元序列随机性检测方法

　　GB/T 33848. 3 信息技术 射频识别 第 3部分 :13. 56MHz的空中接口通信参数

　　GB/T 37033. 1—2018 信息安全技术 射频识别系统密码应用技术要求 第 1 部分 :密码安全保护框架及安全级别

　　GB/T 37033. 2—2018 信息安全技术 射频识别系统密码应用技术要求 第 2 部分 : 电子标签与读写器及其通信密码应用技术要求

　　GB/T 37033. 3—2018 信息安全技术 射频识别系统密码应用技术要求 第 3 部分 :密钥管理技术要求

　　3 术语和定义

　　GB/T 20271、GB/T 29261. 3、GB/T 28925、GB/T 29768、GB/T 37033. 1—2018、GB/T 37033. 2— 2018、GB/T 37033. 3—2018界定的以及下列术语和定义适用于本文件 。

　　3. 1

　　射频识别 radio frequencyidentification;RFID

　　在频谱的射频部分 ,利用电磁耦合或感应耦合 ,通过各种调制和编码方案 , 与电子标签交互通信读取电子标签唯一身份的技术 。

　　[来源 :GB/T 29261. 3—2012,05. 01. 01] 3.2

　　射频识别系统 radio frequencyidentification system

　　采用射频识别技术 ,包含一个或者多个阅读器/读写器 、一个或者多个电子标签 、阅读器/读写器和电子标签之间的空中接口通信链路 、阅读器/读写器和管理单元之间的网络传输通信链路和管理单元的

　　1

　　GB/T 35290—2023

　　自动识别和数据采集系统 。

　　[来源 :GB/T 29261. 3—2012,05. 04. 11,有修改] 3.3

　　电子标签 electronic tag

　　用于物体或物品标识 、具有至少包含唯一标识符的信息存储功能 、能接收阅读器/读写器的电磁场调制信号 ,并返回响应信号的数据载体 。

　　注 : 电子标签又称为射频标签 、应答器 、机动车标识等 ,简称标签 。

　　[来源 :GB/T 29261. 3—2012,05. 04. 01,有修改] 3.4

　　被动标签 passive tag

　　自身没有内部供电电源 , 内部集成电路通过接收到的电磁波进行驱动 ,用于物体或物品标识 、具有信息存储功能 ,受到阅读器/读写器发出的射频信号激励 ,能反射并调制从阅读器/读写器接收到的载波信号 ,并返回响应信号的数据载体 。

　　[来源 :GB/T 29261. 3—2012,05. 04. 04,有修改] 3.5

　　半主动标签 semi-active tag

　　自身带有内部供电电源 ,仅能供应内部集成电路且不能主动对外发送数据 ,用于物体或物品标识 、具有信息存储功能 ,受到阅读器/读写器发出的射频信号激励 ,能反射并调制从阅读器/读写器接收到的载波信号 ,并返回响应信号的数据载体 。

　　3.6

　　主动标签 active tag

　　自身带有内部供电电源 ,既供应内部集成电路所需电源且能主动对外发送数据 ,用于物体或物品标识 、具有信息存储功能且相对较大的存储容量 ,具有产生无线电信号能力 ,能接收阅读器/读写器的电磁场调制信号 ,并返回响应信号的数据载体 。

　　[来源 :GB/T 29261. 3—2012,05. 04. 05,有修改] 3.7

　　阅读器 reader

　　用于从电子标签获取数据但不能向标签写入数据的电子设备 。

　　3. 8

　　读写器 reader-writer

　　用于从电子标签获取数据和向电子标签写入数据的电子设备 。

　　[来源 :GB/T 29261. 3—2012,05. 04. 02,有修改] 3.9

　　管理单元 managementunit

　　用于实现管理阅读器/读写器的系统或组成部分 。

　　注 : 管理单元可由中间件 、计算机终端 、数据库 、服务器等组成 。

　　3. 10

　　通信链路 communication link

　　射频识别系统中阅 读 器/读 写 器 和 电 子 标 签 之 间 采 用 无 线 通 信 方 式 的 空 中 接 口 通 信 信 道 、阅 读器/读写器与管理单元之间采用有线通信和/或无线通信方式的网络传输通信信道 。

　　3. 11

　　灭活 kill

　　采用擦除电子标签存储信息等方法 ,使电子标签不能产生调制信号激活射频场从而失效的操作 。注 1: 被灭活的电子标签上电即进入灭活状态 ,并保持灭活状态 。

　　注 2: 电子标签处于灭活状态时无法通过上电 自动进入到准备状态 , 同时无法通过响应读写器指令进入仲裁 、应答 、确认 、鉴别 、开放和安全等其他状态 。

　　2

　　GB/T 35290—2023

　　4 符号和缩略语

　　下列符号和缩略语适用于本文件 。

　　DDoS:分布式拒绝服务(Distributed Denialof Service)

　　DoS:拒绝服务(Denialof Service)

　　HMAC:采用密码杂凑函数生成的消息鉴别码(Hash Message Authentication Code)

　　ICMP Flood:互联网控制报文协议洪水(InternetControlMessage ProtocolFlood)

　　ID:标识符(Identity document)

　　KTR:传输密钥(Key for Transport)

　　MAC:消息鉴别码(Message Authentication Code)

　　SMS:短信服务(ShortMessage Service)

　　SNMP Trap:简单网络管理协议陷阱(Simple Network ManagementProtocolTrap)

　　SYN Flood: 同步洪水(Synchronize Flood)

　　TID: 电子标签标识符(Tag Identifier)

　　UID: 唯一标识符(Unique Identifier)

　　5 概述

　　5. 1 系统组成

　　射频识别系统是由电子标签 、阅读器/读写器 、通信链路及管理单元等四个部分组成的 自动识别系统 。其中 , 电子标签包括被动标签 、半主动标签 、主动标签 ,通信链路包括电子标签与阅读器/读写器之间的空中接口通信链路和阅读器/读写器与管理单元之间的网络传输通信链路 。通常 , 阅读器/读写器在一个区域发射电磁场能量 ,被动标签 、半主动标签经过这个区域时感应到阅读器/读写器的信号后使用调制散射方式进行相应的反馈 , 阅读器/读写器接收被动标签 、半主动标签发送的信号 ,经解码和校验数据的完整性等多个交互流程后 ,将信息传送给管理单元完成相应的处理工作 ;主动标签则用自身的射频能量主动给阅读器/读写器发送数据 , 阅读器/读写器接收主动标签发送的信号 ,经解码和校验数据的完整性后 ,将信息传送给管理单元完成相应的处理工作 。

　　射频识别系统的安全防护范围见图 1,一般包括电子标签 、空中接口通信链路 、阅读器/读写器 、网络传输通信链路 、管理单元 。

　　注 : 网络传输通信链路可能采用有线通信和/或无线通信方式 , 以虚线表示 。

　　图 1 射频识别系统示意图

　　3

　　GB/T 35290—2023

　　5.2 系统安全风险

　　射频识别系统的开放式设计决定了系统存在自身脆弱性及易受外部攻击的安全风险 。其安全风险存在于数据获取 、数据传输 、数据处理和数据存储等各个环节 。

　　电子标签 、阅读器/读写器 、管理单元 、电子标签和阅读器/读写器之间的空中接口通信链路 、阅读器/读写器和管理单元之间的网络传输通信链路等构成射频识别系统的各组成部分均面临安全风险 。具体安全风险见表 1。

　　表 1 射频识别系统的安全风险

　　序号

　　风险名称

　　风险描述

　　1

　　RFID 嗅探

　　大部分不具备安全设计的 电 子 标 签 不 能 认 证 射 频 识 别 阅 读 器/读 写 器 的 合 法 性 , 攻击者使用 自 己的阅读器/读写器去套取该类电子标签的内容

　　2

　　RFID伪造

　　普通不具备安全设计的电子标签不做任何加密操作 ,攻击者可轻易将信 息 写 入 一 张空白的电子标签中或者修改一张现有的电子标签 , 以获取所仿冒电子标签在 其 对 应 认 证系统中的访问权限

　　3

　　窃听

　　普通不具备安全设计的电 子 标 签 发 送 的 信 号 、阅 读 器/读 写 器 发 送 的 信 号 可 被 非 法阅读器/读写器或频谱仪等窃听 设 备 在 电 子 标 签 和 阅 读 器/读 写 器 之 间 的 空 中 接 口 通 信链路中或阅读器/读写器和管理单 元 之 间 的 网 络 传 输 通 信 链 路 中 获 取 , 通 过 其 电 磁 特 征来获得标签和阅读器/读写器之间或其他 RFID通信设备之间的通信数据 ,并进而跟踪商品流通动态等

　　4

　　跟踪

　　通过读取电子标签上的内容 ,攻击者可跟踪一个对象或人的运动 轨 迹 。 当 一 个 电 子标签进入到了阅读器/读写器可读取的范围内时 , 阅读器/读写器可 以 识 别 电 子 标 签 并 记录下电子标签当前的位置

　　5

　　拒绝服务攻击

　　当阅读器/读写器收到来自电 子 标 签 的 认 证 信 息 时 , 它 会 将 认 证 信 息 与 后 端 数 据 库内的信息进行比对 。 阅读器/读写器和后端数据库都很容易遭 受 拒 绝 服 务 攻 击 。 当 出 现拒绝服务攻击时 , 阅读器/读写器将无法完成对电子标签的认证

　　6

　　欺骗

　　攻击者把自己伪造成后端数据库管理员等合法用户 ,进行更改 RFID标识 、拒绝正常服务等操作

　　7

　　插入攻击

　　攻击者试图向射频识别系统发送一段系统命令而不是原本正常的数据 内 容 ,如 将 攻击命令插入到电子标签存储的正常数据中等

　　8

　　重放攻击

　　攻击者通过 截 获 电 子 标 签 与 阅 读 器/读 写 器 之 间 的 通 信 , 记 录 下 电 子 标 签 对 阅 读器/读写器认证请求的回复信息 ,并在之后将这个信息重 放 给 阅 读 器/读 写 器 。如 攻 击 者重放电子标签和阅读器/读写器之间用于认证的信息等

　　9

　　物理攻击

　　攻击者在物理上接触到电 子 标 签 实 体 并 篡 改 电 子 标 签 的 信 息 。 物 理 攻 击 有 多 种 方式 ,如去除电子标签的芯片封装 ,使用微探针读取修改电子标签内容 、使用 X射线或者其他射线破坏电子标签内容 、使用 电 磁 干 扰 破 坏 电 子 标 签 与 阅 读 器 之 间 的 通 信 、利 用 微 处理器的通用通信接 口 ,通过软件 扫 描 标 签 和 响 应 读 写 器 的 探 询 , 删 除 标 签 内 容 或 篡 改 可重写标签内容以及通过干扰广播 、阻塞信道或其他手段 ,产生异常的应 用 环 境 ,使 合 法 处理器产生故障 ,进行拒绝服务的攻击等

　　10

　　病毒

　　病毒可以破坏或泄露后端 数 据 库 中 存 储 的 电 子 标 签 内 容 , 拒 绝 或 干 扰 阅 读 器/读 写器与后端数据库之间的通信

　　4

　　GB/T 35290—2023

　　表 1 射频识别系统的安全风险 (续)

　　序号

　　风险名称

　　风险描述

　　11

　　事件记录失败

　　系统可能未成功 记 录 相 关 安 全 事 件 ; 攻 击 者 可 能 通 过 耗 尽 审 计 数 据 存 储 空 间 的 方法 ,从而掩盖其攻击行为

　　12

　　非授权访问

　　非授权用户可能试图访问和使用系统电子标签与阅读器/读写器并对 其 更 改 以 实 现其他 目 的

　　13

　　信息泄露

　　恶意用户可能浏览远程授权管理员和系统之间发送的相关信息

　　14

　　滥用

　　授权用户可能访问管理单 元 获 取 信 息 后 用 于 商 品 营 销 或 个 人 行 为 偏 好 收 集 等 不 当商业目的 ;授权用户可能访问管 理 单 元 获 取 信 息 后 披 露 给 未 经 授 权 的 第 三 方 , 用 于 人 员行踪分析或目标跟踪等非法 目 的

　　15

　　状态异常

　　系统可能遭受断电 、故障等异常情况 ,导致受保护的应用无法正常提供服务

　　16

　　网络攻击

　　系统可能遭受抗拒绝服务攻击等网络攻击 ,导致受保护的应用无法正常提供服务

　　注 1: 射频识别系统的实际安全风险包括并不限于本表所列项 目 。

　　注 2: 本表分析了射频识别系统存在的物理攻击风险 。

　　6 系统安全分级

　　依据射频识别系统组成 ,本文件将射频识别系统通用安全技术要求按电子标签安全 、空中接口通信链路安全 、阅读器/读写器安全 、网络传输通信链路安全及管理单元安全共 5个部分给出 ,每个部分的安全技术要求分别划分为 2个等级 :基本级和增强级 。射频识别系统应至少满足基本级安全技术要求 。

　　本文件中增强级要求仅列出了除基本级技术要求外的增强级要求和相对基本级安全要求增强的技术要求 。增强级等级射频识别系统应在符合基本级安全技术要求的基础上满足增强级安全技术要求 。

　　注 1: 基本级安全技术要求参照 GB/T 22239—2019中 6. 1 安全通用要求和 6. 4 物联网安全扩展要求的第一级安全保护能力要求 ;增强级安全技术要求参照 GB/T 22239—2019 中 7. 1 安 全 通 用 要 求 和 7. 4 物 联 网 安 全 扩 展 要求的第二级安全保护能力要求 。

　　注 2: 电子标签 基 本 级 安 全 技 术 要 求 参 照 GB/T 37033. 1—2018 中 的 第 二 级 要 求 、增 强 级 安 全 技 术 要 求 参 照GB/T 37033. 1—2018中的第三级要求 , 阅读器/读写器基本级安全技术要求参照 GB/T 37033. 1—2018 中的第三级要求 、增强级安全技术要求参照 GB/T 37033. 1—2018中的第四级要求 ,空中接口通信链路基本级安全技术要求参照 GB/T 37033. 1—2018中的第二级要求 、增强级安全技术要求参照 GB/T 37033. 1—2018中的第三级要求 , 网络传输通信链路基本级安全技术要求参照 GB/T 37033. 1—2018中的第二级要求 、增强级安全技术要求参照 GB/T 37033. 1—2018中的第三级要求 ,管理单元基本级安全技术要求参照 GB/T 37033. 1—2018中的第三级要求 、增强级安全技术要求参照 GB/T 37033. 1—2018中的第四级要求 。

　　7 安全技术要求

　　7. 1 电子标签安全

　　7. 1. 1 基本级要求

　　7. 1. 1. 1 唯一性标识

　　电子标签应具有不可更改的唯一标识 。

　　5

　　GB/T 35290—2023

　　7. 1. 1.2 灭活

　　900 MHz频段的电子标签或 2. 45 GHz频段的电子标签应具有灭活功能 。灭活应符合以下要求 :

　　a) 电子标签在接收到包含灭活口令的特殊指令后进入灭活状态 ;

　　b) 灭活状态的电子标签不再响应任何外部指令 ;

　　c) 灭活口令受灭活密钥控制 。

　　7. 1. 1.3 基于口令验证的访问控制

　　基于口令验证的电子标签应具备访问控制 。基于口令验证的访问控制应符合以下要求 :

　　a) 仅通过口令验证的阅读器/读写器访问其用户区 ;

　　b) 口令具有复杂度策略要求 ,其中至少包含大写字母 、小写字母 、数字和特殊字符中的三种 ,且不少于 8位字符 ;

　　c) 同一电子标签的不同存储区域的访问口令各不相同 ;

　　d) 不同电子标签的访问口令各不相同 。

　　7. 1. 1.4 信息防篡改

　　电子标签应能防止其存储数据被未经授权的攻击者篡改 。

　　7. 1. 1.5 防非法指令

　　电子标签应仅响应协议及制造商规定的指令 ,对于无法识别的指令应不予响应 。

　　7. 1. 1.6 随机数产生

　　电子标签应具备随机数发生器 。 随机数发生器应能产生长度与密码算法分组长度一致的随机数且随机数二元序列随机性应符合 GB/T 32915 中的符合性结果判定 。

　　7. 1. 1.7 基于密码技术验证的访问控制

　　主动标签应仅通过密码技术验证的阅读器/读写器访问其存储区 。不同电子标签或同一电子标签的不同存储区域所用的密钥宜各不相同 。

　　注 : 除注明仅适用于主动标签的安全功能要求外 ,7. 1 中的 其 余 安 全 功 能 要 求 同 时 适 用 于 被 动 标 签 、半 主 动 标 签 和主动标签 。

　　7. 1. 1. 8 片内程序更新的完整性保护

　　主动标签应具备片内程序更新完整性校验功能 。

　　7. 1.2 增强级要求

　　7. 1.2. 1 完整性保护

　　电子标签应具备对其传输的数据提供完整性保护的能力 。

　　7. 1.2.2 前向安全性

　　电子标签应具备前向安全性 。 当电子标签中的密钥泄露时 ,前向安全性功能应能使电子标签之前与阅读器/读写器交互的消息仍然安全 。

　　7. 1.2.3 基于密码技术的访问控制

　　基于密码技术的电子标签应仅通过身份鉴别协议验证的阅读器/读写器访问其存储区 。不同电子

　　6

　　GB/T 35290—2023

　　标签或同一电子标签的不同存储区域的密钥宜各不相同 。

　　7. 1.2.4 敏感信息保护、销毁和管理

　　电子标签应具有敏感信息保护 、销毁和管理功能 。敏感信息保护 、销毁和管理应符合以下要求 :

　　a) 支持带校验的敏感信息加密存储 ;

　　b) 对可读取的敏感信息 ,提供安全机制保证敏感信息明文只在电子标签内部进行处理 ;

　　c) 清除标签内敏感信息时不透露敏感信息本身 。

　　7. 1.2.5 基于密码技术的数据加密

　　主动标签应对存储在内的敏感信息采用密码技术进行加密保护 。密码技术应符合 GB/T 37033. 1—

　　2018、GB/T 37033.2—2018和 GB/T 37033.3—2018的规定 。

　　7. 1.2.6 数据校验

　　主动标签应对传输的数据进行完整性校验 , 防止数据被篡改 、删除或插入 。

　　7. 1.2.7 签名服务

　　当主动标签作为数据的原发送方时 ,应能对所发送数据生成数字签名 ; 当电子标签作为阅读器/读写器数据的接收方时 ,应能验证阅读器/读写器的签名数据 。

　　7.2 阅读器/读写器安全

　　7.2. 1 基本级要求

　　7.2. 1. 1 标识唯一性

　　阅读器/读写器应具有不可更改的唯一性标识 。

　　7.2. 1.2 基于口令验证的身份鉴别

　　读写器应采用具有复杂度策略要求的口令验证对读写电子标签信息等操作进行身份鉴别 。对不同的操作权限应设置不同的口令 。

　　7.2. 1.3 基于密码技术验证的访问控制

　　读写半主动标签和/或主动标签的读写器应采用密码技术验证对电子标签信息读写 、密钥存储 、密钥更新等操作设置控制权限 。对不同的权限应设置不同的密钥进行访问控制 ,应阻止非授权的访问 。密码技术应符合 GB/T 37033. 1—2018、GB/T 37033. 2—2018和 GB/T 37033. 3—2018的规定 。

　　7.2. 1.4 授权的程序装载与更新

　　阅读器/读写器应具有授权的程序装载与更新功能 。

　　7.2. 1.5 初始化权限控制

　　读写器应对电子标签的初始化信息设定控制权限 。

　　7.2. 1.6 完整性保护

　　阅读器/读写器对与电子标签之间传输的数据应进行自校验计算 , 以发现数据被篡改 、删除和插入等情况 ,确保传输信息的完整性 。

　　7

　　GB/T 35290—2023

　　7.2. 1.7 随机数产生

　　阅读器/读写器内应具有随机数发生器 。 随机数发生器应能产生长度与密码算法分组长度一致的随机数且随机数二元序列随机性符合 GB/T 32915 中的符合性结果判定 。

　　7.2. 1. 8 敏感信息保护、销毁和管理

　　阅读器/读写器应能正确 、有效地存储 、更新和销毁敏感信息 。 阅读器/读写器应对敏感信息的访问设置相应权限 。

　　7.2. 1.9 安全审计

　　7.2. 1.9. 1 审计数据生成

　　阅读器/读写器应能生成电子标签的读取或写入及管理单元接入情况等审计数据 。

　　7.2. 1.9.2 审计内容

　　阅读器/读写器生成的安全审计应至少包含以下内容 :

　　a) 电子标签的读取或写入日期或时间 ;

　　b) 配置管理 ;

　　c) 阅读器/读写器的注册 、注销 ;

　　d) 阅读器/读写器的在线 、离线状态 ;

　　e) 设备故障 ;

　　f) 设备更新 ;

　　g) 其他可审计信息 。

　　7.2. 1.9.3 授权查阅

　　阅读器/读写器应设置审计内容查阅权限 ,确保仅授权人员能对审计内容进行查阅 。

　　7.2. 1.9.4 数据完整性保护

　　阅读器/读写器应具备数据完整性保护机制 ,确保存储的 日志信息不被篡改 、伪造和恶意删除 。

　　7.2.2 增强级要求

　　7.2.2. 1 基于密码技术的访问控制

　　阅读器/读写器应具有基于密码技术的访问控制功能 。基于密码技术的访问控制应符合以下要求 :

　　a) 阅读器/读写器采用密码技术对读写标签信息 、密钥存储 、密钥更新等操作设置控制权限 ;

　　b) 对不同的权限设置不同的密钥进行访问控制 ;

　　c) 能阻止所有非授权的访问 ;

　　d) 密码技术符合 GB/T 37033. 1—2018、GB/T 37033. 2—2018和 GB/T 37033. 3—2018的规定 。

　　7.2.2.2 基于密码技术的数据加密

　　阅读器/读写器应具有基于密码技术的数据加密功能 。基于密码技术的数据加密应符合以下要求 :

　　a) 采用密码技术对存储的敏感信息进行加密保护 , 防止敏感信息非授权泄露 ;

　　b) 采用密码技术对传输的敏感信息进行加密保护 ;

　　c) 密码技术符合 GB/T 37033. 1—2018、GB/T 37033. 2—2018和 GB/T 37033. 3—2018的规定 。

　　8

　　GB/T 35290—2023

　　7.2.2.3 签名服务

　　阅读器/读写器应具有签名服务功能 。签名服务应符合以下要求 :

　　a) 当阅读器/读写器 作 为 信 息 的 原 发 者 时 , 阅 读 器/读 写 器 对 向 电 子 标 签 传 输 的 数 据 产 生 数 字签名 ;

　　b) 当阅读器/读写器作为电子标签签名信息的验证主体时 , 阅读器/读写器能验证电子标签的签名数据 。

　　7.2.2.4 安全审计保密性保护

　　阅读器/读写 器 应 采 用 安 全 的 密 码 技 术 对 存 储 的 安 全 审 计 进 行 加 密 保 护 。 密 码 技 术 应 符 合GB/T 37033. 1—2018、GB/T 37033. 2—2018和 GB/T 37033. 3—2018的规定 。

　　7.3 空中接口通信链路安全

　　7.3. 1 基本级要求

　　7.3. 1. 1 数据完整性

　　系统应采用数据校验技术保证空中接口通信链路传输过程中的数据完整性 。