1 范圍

      GB/T 37033的本部分規定了采用密碼技術的電子標簽和讀寫器及其通信的密碼安全要素，規定了不同安全級別的射頻識別系統對電子標簽和讀寫器及其通信的密碼安全技術要求，并規定了電子標簽與讀寫器之間通信的密碼安全實現方式。

      本部分適用于采用密碼安全技術的電子標簽和讀寫器的設計、實現、生產制造、測評和應用，以及射頻識別系統中電子標簽與讀寫器間通信的設計、實現、測評和應用。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 37033.1-2018 信息安全技術 射頻識別系統密碼應用技術要求 第1部分：密碼安全保護框架及安全級別

      GB/T 37033.3-2018 信息安全技術 射頻識別系統密碼應用技術要求 第3部分：密鑰管理技術要求

      GM/T 0008-2012 安全芯片密碼檢測準則

      GM/T 0040-2015 射頻識別標簽模塊密碼檢測準則

3 術語和定義

      GB/T 37033.1-2018中界定的術語和定義適用于本文件。

4 符號和縮略語

      SAM：安全存取模1塊（Secure Access Module）

      SM1：SM1算法（SMlalgorithm）

      SM2：SM2算法（SM2algorithm）

      SM3：SM3算法（SM3algorithm）

      SM4：SM4算法（SM4algorithm）

      SM7：SM7算法（SM7algorithm）

      UID：唯一標識符（UniqueIDentifier）

      ||：數據連接符，將信息串聯，表示左側和右側數據拼接在一起形成一個新的數據

      ＋：比特異或

5 概述

      射頻識別系統密碼安全由保密性、完整性、抗抵賴、身份鑒別、訪問控制、安全審計和密碼配置等安全要素構成。根據射頻識別系統密碼應用安全級別，電子標簽和讀寫器及其通信應滿足相應的安全要素及技術要求，如圖1所示。

圖1 電子標簽和讀寫器及其通信密碼安全示意圖

      附錄A給出了一個電子標簽芯片設計實例。

      附錄B給出了一種讀卡器密碼安全應用實例。

      附錄C給出了采用對稱分組密碼算法的雙向身份鑒別與流加密應用實例。

      附錄D給出了采用非對稱密碼算法的雙向身份鑒別和密鑰協商應用實例。

6 密碼安全要素

6.1 電子標簽密碼安全要素

6.1.1 保密性

6.1.1.1 存儲信息的保密性

      電子標簽對存儲在電子標簽內的敏感信息應采用密碼算法進行加密保護，確保除合法讀寫器外，其余任何讀寫器不能獲得該數據。

      存儲信息的保密性保護應采用密碼算法加密完成。

6.1.1.2 傳輸信息的保密性

      電子標簽與讀寫器通信時，電子標簽對傳輸的敏感信息應采用密碼算法進行加密保護，用于保證該傳輸數據在被截獲后無法得到明文數據，達到數據傳輸的保密性要求。

      傳輸信息保密性保護應通過對傳輸的明文數據進行加密完成，采用序列密碼加密或分組加密的方式進行。

      傳輸信息保密性的實現過程見8.1。

6.1.2 完整性

6.1.2.1 存儲信息的完整性

      電子標簽應采用密碼算法對存儲在電子標簽內的敏感信息進行校驗計算，確保存儲數據的完整性。

      存儲信息完整性保護應采用密碼算法，通過對存儲的數據加校驗碼的方式進行。具體方式是在存儲數據的同時存儲該數據相關的校驗碼。

      采用對稱密碼算法或密碼雜湊函數計算校驗碼時，實現方式見8.2。

      采用非對稱密碼算法產生的數字簽名可用于數據完整性校驗。

6.1.2.2 傳輸信息的完整性

      電子標簽與讀寫器通信時，電子標簽應采用密碼算法對傳輸的數據進行校驗計算，以發現數據被篡改、刪除和插入等情況，達到傳輸過程中的數據完整性要求。

      傳輸信息的完整性實現方式見8.2。

6.1.3 抗抵賴

6.1.3.1 抗電子標簽原發抵賴

      抗電子標簽原發抵賴是指標簽信息的原發者（讀寫器或第三方）應采用密碼算法對寫入電子標簽內的數據進行數字簽名操作，確保產生該數字簽名的原發者不能成功地否認曾經生成過該數據。

      電子標簽應通過存儲標簽信息原發者產生的數字簽名來實現抗電子標簽原發抵賴功能。

6.1.3.2 抗電子標簽抵賴

      支持抗電子標簽抵賴時，電子標簽應具有產生數字簽名功能。

6.1.3.3 抗讀寫器抵賴

      電子標簽具有抗讀寫器抵賴功能時，電子標簽應能夠對讀寫器產生的數字簽名進行驗證，達到抗讀寫器抵賴的要求。

6.1.4 身份鑒別

6.1.4.1 唯一標識符鑒別

      唯一標識符鑒別應采用與電子標簽唯一標識符相關的驗證碼鑒別方式。

      唯一標識符鑒別需要在電子標簽中存儲UID以及消息鑒別碼（MAC），該MAC是由UID與相關應用信息關聯后應采用密碼算法計算產生，并在發行電子標簽時寫入。

      唯一標識符鑒別的實現方式見8.3.1。

6.1.4.2 電子標簽對讀寫器的挑戰響應鑒別

      電子標簽對讀寫器的挑戰響應鑒別的實現方式見8.3.2.1。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。