[PDF] GM/T 0097-2020 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GM/T 0097-2020 | 335 | GM/T 0097-2020 | 9秒内发货PDF | 射频识别电子标签统一名称解析服务安全技术规范 |
| 基本信息 | |
|---|---|
| 标准编号 | GM/T 0097-2020 (GM/T0097-2020) |
| 中文名称 | 射频识别电子标签统一名称解析服务安全技术规范 |
| 英文名称 | Security Technical Specifications for Unified Name Resolution Service of RFID |
| 行业 | Chinese Industry Standard (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 20,291 |
| 发布日期 | 2020-12-28 |
| 实施日期 | 2021-07-01 |
| 引用标准 | GB/T 17901.1; GB/T 32905; GB/T 32907; GB/T 32915; GB/T 32918.1; GB/T 32918.2; GB/T 32918.3; GB/T 32918.4; GB/T 32918.5; GB/T 35276-2017; GM/Z 4001-2013 |
| 标准依据 | 国家密码管理局公告第41号 |
| 发布机构 | 国家密码管理局 |
| 范围 | 本标准规定了射频识别电子标签统一名称解析服务的系统架构、关键业务流程和安全性要求,定义了名称解析服务器的注册流程、产品电子代码的安全查询流程及相应消息报文格式。本标准适用于射频识别电子标签统一名称解析服务系统的开发和使用。 |
GM/T 0097-2020
Security technical specifications for unified name resolution service of RFID
ICS 35.040
L80
中华人民共和国密码行业标准
射频识别电子标签统一名称
解析服务安全技术规范
serviceofRFID
2020-12-28发布
2021-07-01实施
国家密码管理局 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 2
4.1 符号 2
4.2 缩略语 2
5 电子标签编码 3
6 ONS系统架构 3
7 ONS系统关键业务流程 3
7.1 ONS服务器注册 3
7.2 安全查询处理 4
8 安全性要求 5
8.1 密码算法 5
8.2 随机数安全 5
8.3 密钥管理安全 5
8.3.1 总体要求 5
8.3.2 密钥种类及用途 5
8.3.3 密钥结构 6
8.3.4 密钥生成 6
8.3.5 密钥分发 6
8.3.6 密钥存储 6
8.3.7 密钥更新 7
8.3.8 密钥备份和恢复 7
8.3.9 密钥销毁 7
8.4 硬件安全 7
8.5 软件安全 7
附录A(资料性附录) 射频识别电子标签统一编码规则 8
附录B(规范性附录) ONS服务器注册流程 9
附录C(规范性附录) 消息协议规范 11
附录D(规范性附录) 安全查询处理流程 15
射频识别电子标签统一名称
解析服务安全技术规范
1 范围
本标准规定了射频识别电子标签统一名称解析服务的系统架构、关键业务流程和安全性要求,定义
了名称解析服务器的注册流程、产品电子代码的安全查询流程及相应消息报文格式。
本标准适用于射频识别电子标签统一名称解析服务系统的开发和使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 17901.1 信息技术 安全技术 密钥管理 第1部分:框架
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32907 信息安全技术 SM4分组密码算法
GB/T 32915 信息安全技术 二元序列随机性检测方法
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 35276-2017 信息安全技术 SM2密码算法使用规范
GM/Z4001-2013 密码术语
3 术语和定义
GM/Z4001-2013界定的以及下列术语和定义适用本文件。
3.1
存储在RFID标签上,为物品提供唯一标识。
3.2
为访问和持久保存产品电子代码相关数据提供了一个标准的接口,已授权用户可以通过它来读写
产品电子代码相关数据,具有高度复杂的数据存储与处理过程,支持多种查询方式。
3.3
保存物品详细信息的服务器,一般由生产商或者产品使用者管理和维护。
3.4
名称解析服务 objectnameservice
提供产品电子代码与存放物品具体信息的服务地址之间的映射关系。
3.5
密钥 key
控制密码变换操作的关键信息或参数。
3.6
密钥管理 keymanagement
密钥的生成、存储、使用、更新、导入、导出和销毁等过程的管理。
4 符号和缩略语
4.1 符号
下列符号适用于本文件。
cert_A:服务器A的设备证书
HDR_ans:响应消息头
HDR_req:请求消息头
Hmac(k,msg):使用密钥k 对消息msg计算消息认证码
ip_A:服务器A地址
ip_EPCIS:EPCIS服务器地址
k_AB:服务器A与服务器B的会话密钥
k1_AB:服务器A与服务器B对称加密的会话密钥
k2_AB:服务器A与服务器B消息认证码校验的会话密钥
MAC_A:服务器A生成的消息认证码
PCODE:产品电子代码
pri_A:服务器A的设备私钥
prf():密钥导出函数
prf(msg):密钥导出函数,对消息 msg进行数据摘要运算
pub_A:服务器A的设备公钥
rand_A:服务器A生成的随机数
SIG_A:服务器A生成的签名数据
SM2_Enc(pub_key,msg):使用SM2非对称算法,pub_key作为密钥对输入信息msg加密
SM2_Sign(pri_key,msg):使用SM2非对称算法,pri_key作为密钥对msg进行数字签名
SM4_Enc(key,msg):使用SM4对称算法(CBC模式),key作为密钥对消息msg加密
u_AB:服务器A与服务器B的工作密钥
u1_AB:服务器A与服务器B对称加密的工作密钥
u2_AB:服务器A与服务器B消息认证码校验的工作密钥
[x]:x 为可选
x|y:x 与y 串接
4.2 缩略语
下列缩略语适用于本文件。
CBC:密码分组链接(cipher-blockchaining)
ONS:对象名称解析服务(objectnameservice)
会话密钥、工作密钥存储在设备易失性存储装置中,掉电应丢失,应有安全措施保护密钥存储期间
的安全。
8.3.7 密钥更新
设备证书有效期一般不大于5年,在设备证书过期前,应提前由数字证书系统重新签发设备证书。
会话密钥有效期不大于24h,会话密钥过期前,应由下级 ONS服务器重新注册,协商新的会话
密钥。
工作密钥有效期不大于1h,在本次查询后过期,下次查询时应由上级 ONS服务器重新产生及
分发。
8.3.8 密钥备份和恢复
ONS服务器应支持设备密钥备份和恢复功能。备份时应以密文方式备份到安全存储介质中;从安
全存储介质恢复时,应提供身份鉴别机制。
会话密钥、工作密钥无需进行备份和恢复。
8.3.9 密钥销毁
ONS服务器应支持设备密钥销毁功能,应提供物理保护机制,当机箱被破坏时,自动置于毁钥状
态,并将设备中的密钥销毁。
会话密钥、工作密钥过期后自动销毁。
8.4 硬件安全
ONS服务器应提供安全措施,保证密码算法、密钥、关键数据的存储安全。
所有密码运算应在独立的密码部件中进行。
除必需的通信接口和管理接口以外,不提供任何可供调试、跟踪的外部接口。内部的调试、检测接
口应在产品定型后封闭。
8.5 软件安全
ONS服务器所有的安全协议及管理软件应自主实现。
操作系统应进行安全加固,关闭所有不需要的端口和服务。
任何操作指令及其任意组合,不能泄露密钥和敏感信息。
附 录 A
(资料性附录)
射频识别电子标签统一编码规则
A.1 概述
本附录规定了射频识别电子标签的编码规则,包括版本号、行业、省份、管理者、对象种类、单品序列
号六部分组成,其中行业代码应符合GB/T 4754的规定,省份代码应符合GB/T 2260的规定。
A.2 编码原则
表A.1 编码格式
版本号 行业 省份 管理者 对象种类 单品序列号
2 6 6 22 20 40
如表A.1所示,电子标签编码由版本代码、行业、省份、管理者、对象种类、单品序列号6个字段组
成。版本号2位,行业占6位(可容纳64个行业代码,应符合GB/T 4754的规定),行业有20个门类,
省份占6位(应符合GB/T 2260的规定),管理者占22位(可容纳400多万个管理者代码),对象种类占
20位(可容纳100多万个对象种类代码),单品序列号占40位(可容纳一万多亿个单品代码)。
A.3 管理者代码
建议国家权威机构对所有企业单位颁布企业管理代码,用22位表示。
A.4 对象种类
每个企业单位对自己拥有物品种类进行分类编码,用20位表示。
A.5 单品序列号
每个企业单位对自己的同一种类物品进行顺序编码,用40位表示。
D.2.2 步骤1 ONS客户端向服务器L发送查询请求
处理流程如下:
a) ONS客户端从物品电子标签中读取产品电子代码;
b) ONS客户端向服务器L发送查询请求,报文内容为符合附录A编码格式的产品电子代码;
c) 服务器L收到请求后,首先在本地缓存中查询产品电子代码,若查到对应的EPCIS服务器信
息,则按D.2.9要求向ONS客户端返回查询结果;
d) 若本地缓存查询失败,则按D.2.3要求向服务器R发起查询请求。
D.2.3 步骤2 服务器L向服务器R发送查询请求消息
处理流程如下:
a) 服务器L使用会话密钥k1_LR,对产品电子代码进行对称加密,得到产品电子代码密文;
b) 服务器L向服务器R发送查询请求消息,包含产品电子代码密文,并使用会话密钥k2_LR生
成消息认证码;
c) 服务器R收到请求消息后,使用会话密钥k2_LR,对消息认证码进行完整性及数据源有效性
验证,若验证无效,则查询失败;
d) 服务器R使用会话密钥k1_LR,对产品电子代码密文进行对称解密,得到产品电子代码明文;
e) 服务器R按D.2.4要求,向服务器L返回查询结果。
D.2.4 步骤3 服务器R向服务器L返回查询应答消息
处理流程如下:
a) 服务器R查询产品电子代码对应的二级ONS服务器,假设为服务器A;
b) 服务器R为服务器L及下级服务器A生成下级工作密钥u_LA;
c) 服务器R使用服务器L的会话密钥k1_LR对称加密保护,得到下级服务器A地址和下级工
作密钥密文:SM4_Enc(k1_LR,ip_A|u_LA);
d) 服务器R使用下级服务器A会话密钥k1_AR对称加密保护,得到下级工作密钥密文:SM4_
Enc(k1_AR,u_LA);
e) 服务器R向服务器L返回应答消息,包含密文SM4_Enc(k1_LR,ip_A|u_LA)及密文SM4_
Enc(k1_AR,u_LA),并使用会话密钥k2_LR生成消息认证码;
f) 服务器L收到应答消息后,使用会话密钥k2_LR,对消息认证码进行完整性及数据源有效性
验证,若验证无效,则查询失败;
g) 服务器L使用会话密钥k1_LR,对密文SM4_Enc(k1_LR,ip_A|u_LA)进行解密,得到下级服
务器A地址及下级工作密钥u_LA;
h) 服务器L按D.2.5要求,向服务器A发送查询请求。
D.2.5 步骤4 服务器L向服务器A发送查询请求消息
处理流程如下:
a) 服务器L使用工作密钥u1_LA进行对称加密保护,得到产品电子代码密文;
b) 服务器L向服务器A发送查询请求消息,包含产品电子代码密文,以及上级服务器分发的工
作密钥密文SM4_Enc(k1_AR,u_LA),并使用工作密钥u2_LA生成消息认证码;
c) 服务器A收到请求消息后,使用会话密钥k1_AR,对工作密钥密文SM4_Enc(k1_AR,u_LA)
进行解密,得到工作密钥明文u_LA;
d) 服务器A使用工作密钥u2_LA,对消息认证码进行完整性及数据源有效性验证,若验证无效,
则查询失败;
e) 服务器A使用工作密钥u1_LA,对产品电子代码密文进行对称解密,得到产品电子代码明文;
f) 服务器A按D.2.6要求,向服务器L返回查询结果。
D.2.6 步骤5 服务器A向服务器L返回查询应答消息
处理流程如下:
a) 服务器A查询产品电子代码对应的三级ONS服务器,假设为服务器C;
b) 服务器A为服务器L及下级服务器C生成下级工作密钥u_LC;
c) 服务器A使用服务器L的工作密钥u1_LA对称加密保护,得到下级服务器C地址和下级工
作密钥密文:SM4_Enc(u1_LA,ip_C|u_LC);
d) 服务器A使用下级服务器C会话密钥k1_CA对称加密保护,得到下级工作密钥密文:SM4_
Enc(k1_CA,u_LC);
e) 服务器A向服务器L返回查询应答消息,包含密文SM4_Enc(u1_LA,ip_C|u_LC)及密文
SM4_Enc(k1_CA,u_LC),并使用会话密钥u2_LA生成消息认证码;
f) 服务器L收到应答消息后,使用工作密钥u2_LA,对消息认证码进行完整性及数据源有效性
验证,若验证无效,则查询失败;
g) 服务器L使用工作密钥u1_LA,对密文SM4_Enc(u1_LA,ip_C|u_LC)进行解密,得到下级服
务器C地址及下级工作密钥u_LC;
h) 服务器L按D.2.7要求,向服务器C发送查询请求。
D.2.7 步骤6 服务器L向服务器C发送查询请求报文
处理流程如下:
a) 服务器L使用工作密钥u1_LC进行对称加密保护,得到产品电子代码密文;
b) 服务器L向服务器C发送查询请求消息,包含产品电子代码密文,以及上级服务器A分发的
工作密钥密文SM4_Enc(k1_CA,u_LC),并使用工作密钥u2_LC生成消息认证码;
c) 服务器C收到请求消息后,使用会话密钥k1_CA,对工作密钥密文SM4_Enc(k1_CA,u_LC)
进行解密......
英文网页English: GM/T 0097-2020
相关标准: GB/T 15843.1|GM/T 0104|GM/T 0105|GM/T 0103|GM/T 0097-2020|GM/T 0097|