首页 购物车 询价
www.GB-GBT.com

[PDF] GM/T 0096-2020 - 自动发货. 英文版

标准搜索结果: 'GM/T 0096-2020'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GM/T 0096-2020 英文版 440 GM/T 0096-2020 3分钟内自动发货[PDF] 射频识别防伪系统密码应用指南 有效

基本信息
标准编号 GM/T 0096-2020 (GM/T0096-2020)
中文名称 射频识别防伪系统密码应用指南
英文名称 Guide for RFID anti-counterfeiting cipher application
行业 Chinese Industry Standard (推荐)
中标分类 L80
字数估计 30,354
发布日期 2020-12-28
实施日期 2021-07-01
标准依据 国家密码管理局公告第41号

GM/T 0096-2020 (RFID Anti-counterfeiting System Password Application Guide) ICS 35.040 CCSL80 中华人民共和国密码行业标准 射频识别防伪系统密码应用指南 2020-12-28发布 2021-07-01实施 国家密码管理局 发 布 目次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 2 5 概述 2 6 安全类别 3 6.1 安全级别 3 6.2 A类系统 3 6.3 B类系统 4 7 A类系统规划与实施 4 7.1 系统规划 4 7.1.1 系统架构 4 7.1.2 标签发行系统 5 7.1.3 防伪验证系统 5 7.1.4 信息处理系统 5 7.1.5 密钥管理系统 5 7.2 产品选择 5 7.2.1 射频电子标签 5 7.2.2 射频读写器 6 7.2.3 安全网关 7 7.2.4 密码机 7 7.3 实施建议 7 7.3.1 信息处理系统 7 7.3.2 中间件 7 7.3.3 密钥管理系统 7 7.3.4 透明传输通道读写器要求 7 7.4 应用方案 8 8 B类系统规划与实施 8 8.1 系统规划 8 8.1.1 系统架构 8 8.1.2 标签发行系统 8 8.1.3 防伪验证系统 9 8.1.4 信息处理系统 9 8.1.5 密钥管理系统 9 8.1.6 证书签发与身份鉴别系统 9 8.2 产品选择 9 8.2.1 射频电子标签 9 8.2.2 射频读写器 10 8.2.3 安全网关 11 8.2.4 密码机 11 8.3 实施建议 11 8.3.1 信息处理系统 11 8.3.2 中间件 11 8.3.3 CA和密钥管理系统 11 8.3.4 透明传输通道读写器要求 12 8.4 应用方案 12 附录A(资料性) 双向身份鉴别实现方式 13 附录B (资料性) A类射频识别防伪密码应用方案 14 附录C (资料性) B类射频识别防伪密码应用方案 21 射频识别防伪系统密码应用指南 1 范围 本文件规定了射频识别防伪应用的安全类别、系统规划与实施。 本文件适用于射频识别防伪应用中密码安全方案设计、密码产品选用与系统实施。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T 28925 信息技术 射频识别 2.45GHz空中接口协议 GB/T 29768 信息技术 射频识别 800/900MHz空中接口协议 GB/T 32915 信息安全技术 二元序列随机性检测方法 GB/T 37033.1-2018 信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保 护框架及安全级别 GB/T 37033.2-2018 信息安全技术 射频识别系统密码应用技术要求 第2部分:电子标签与 读写器及其通信密码应用技术要求 GB/T 37033.3-2018 信息安全技术 射频识别系统密码应用技术要求 第3部分:密钥管理技 术要求 GB/T 37092 信息安全技术 密码模块安全要求 GM/T 0008 安全芯片密码检测准则 GM/T 0014 数字证书认证系统密码协议规范 GM/T 0030 服务器密码机技术规范 GM/T 0039 密码模块安全检测要求 GM/T 0040-2015 射频识别标签模块密码检测准则 GM/Z4001-2013 密码术语 SB/T 10768-2012 基于射频识别的瓶装酒追溯与防伪标签技术要求 3 术语和定义 GB/T 37033.1-2018和 GM/Z4001-2013界定的以及下列术语和定义适用于本文件。 3.1 安全存取模块 secureaccessmodule 嵌入在电子标签读写器内的密码模块,为读写器提供安全服务。 3.2 由读写器发起对标签的身份鉴别。 3.3 加密和解密使用相同密钥的密码算法。 3.4 gorithm 加密和解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保 密,且由公钥求解私钥是计算不可行的。 3.5 机密性 confidentiality 保证信息不被泄露给非授权的个人、进程等实体的性质。 3.6 利用射频信号通过空间耦合(交变磁场或电磁场)实现信息的无接触传递,并通过所传递的信息达 到识别目的。 3.7 读写器和标签之间进行的相互身份鉴别。 3.8 明确定义的连续边线,该边线建立了密码模块的物理和/或逻辑边界,并包括了密码模块的所有硬 件、软件、和/或固件部分。 3.9 密码机 cryptographicmachine 能够独立运行的,实现密码运算、密钥管理等功能,提供密码服务的设备。 3.10 密码模块 cryptographicmodule 实现了安全功能的硬件、软件和/或固件的集合,并且被包含在密码边界内。 4 缩略语 下列缩略语适用于本文件。 SAM:安全存取模块(SecureAccessModule) UID:唯一标识符(UniqueIDentifier) 5 概述 基于射频识别防伪系统的密码应用框架如图1所示,由标签发行、防伪验证、中间件、信息处理系 7.1.2 标签发行系统 对防伪标签进行密钥发行,并在发行完成后,将商品溯源相关信息与防伪标签UID进行关联,存入 信息处理系统中,便于消费者进行商品溯源防伪。 7.1.3 防伪验证系统 防伪验证系统提供对防伪标签的验证查询服务,以及防伪数据信息(产品生产、销售、验证查询等数 据)的下载等。 7.1.4 信息处理系统 包括商品生产、仓储、运输、销售等多类信息的处理系统。 7.1.5 密钥管理系统 负责整个系统中密钥的生成、分散、存储等密钥管理功能,是整个系统中安全核心;为保证该系统的 安全性,密钥管理系统部署在独立的密钥管理中心,与商品溯源防伪应用系统的其他部分(包括信息处 理系统、防伪验证系统、标签发行系统)物理隔离。密钥管理系统生成的密钥,通过密钥卡等安全措施, 分发到商品防伪溯源应用系统的其他部分。 7.2 产品选择 7.2.1 射频电子标签 7.2.1.1 密码安全要求 A类系统中使用的射频电子标签满足以下密码安全要求。 a) 符合GM/T 0040-2015中规定的Ⅰ类或Ⅱ类检测要求。 b) 身份鉴别:应支持读写器对电子标签的身份鉴别。读写器对电子标签的身份鉴别实现方式见 GB/T 37033.2-2018中的8.3.2.2。 c) 访问控制:支持访问控制功能,保障存储信息在受控权限下进行访问。电子标签的访问控制实 现方式见GB/T 37033.2-2018中6.1.5。电子标签的访问控制检测见GM/T 0040-2015中 6.5。 d) 密码算法:应采用国家密码管理部门核准的密码算法。 e) 宜选用国家密码管理部门核准的密码产品。 7.2.1.2 可选密码安全要求 A类系统中使用的射频电子标签根据应用需求,可选择支持以下密码安全要求。 a) 存储信息机密性保护:可选择支持对电子标签内存储信息机密性保护,电子标签存储信息的机 密性实现方式见 GB/T 37033.2-2018中6.1.1.1。电子标签存储信息的机密性检测见 GM/T 0040-2015中6.3.3。 b) 传输信息机密性保护:可选择支持对电子标签传输信息保护功能。电子标签传输信息的机密 性实现方式见 GB/T 37033.2-2018中6.1.1.2。电子标签传输信息的机密性检测见 GM/T 0040-2015中6.3.2。 c) 存储信息完整性保护:可选择支持对电子标签存储信息完整性保护功能。电子标签存储信息 的完整性实现方式见GB/T 37033.2-2018中6.1.2.1。电子标签存储信息的完整性检测见 GM/T 0040-2015中6.3.5。 d) 传输信息完整性保护:可选择支持对电子标签传输信息的完整性保护功能。电子标签传输信 息的完整性实现方式见GB/T 37033.2-2018中6.1.2.2。电子标签传输信息的完整性检测见 GM/T 0040-2015中6.3.4。 e) 身份鉴别:可选择支持电子标签对读写器的身份鉴别。电子标签对读写器的身份鉴别实现方 式见GB/T 37033.2-2018中的8.3.2.1。电子标签对读写器的身份鉴别应通过GM/T 0040- 2015中6.2和6.3的检测。读写器与电子标签之间的双向身份鉴别的实现方式见 GB/T 37033.2-2018中 8.3.3.1。读写器与电子标签之间的双向身份鉴别应通过 GM/T 0040-2015中6.2和6.3的检测。 f) 抗电子标签原发抵赖:可选择支持抗电子标签原发抵赖功能。抗电子标签原发抵赖的实现方 式见GB/T 37033.2-2018中6.1.3.1。抗电子标签原发抵赖检测见 GM/T 0040-2015中 6.6.1。 7.2.2 射频读写器 7.2.2.1 密码安全要求 A类系统中使用的密码安全功能射频读写器可满足以下密码安全要求。 a) 读写器使用的SAM芯片应符合GM/T 0008规定的不低于二级的检测要求。 b) 身份鉴别:应支持读写器对电子标签的身份鉴别。读写器对电子标签的身份鉴别实现方式见 GB/T 37033.2-2018中8.3.2.2。 c) 应支持访问控制功能。读写器访问控制实现方式见GB/T 37033.2-2018中6.2.5。 d) 密码算法:应采用与电子标签中密码算法相适应的国家密码管理部门核准的密码算法。 e) 宜选用国家密码管理部门核准的密码产品。 7.2.2.2 可选密码安全要求 A类系统中使用的密码安全功能射频读写器根据应用需求,可选择支持以下密码安全要求。 a) 存储信息的机密性:可选择支持对读写器内存储信息的机密性保护。读写器存储信息的机密 性实现方式见GB/T 37033.2-2018中6.2.1.1。 b) 传输信息的机密性:可选择支持对读写器传输信息保护功能。读写器传输信息的机密性实现 方式见GB/T 37033.2-2018中6.2.1.2。 c) 存储信息的完整性:A类安全级别读写器可选择支持对读写器存储信息完整性保护功能。读 写器存储信息的完整性实现方式见GB/T 37033.2-2018中6.2.2.1。 d) 传输信息的完整性:可选择支持对读写器传输信息完整性保护功能。读写器传输信息的完整 性实现方式见GB/T 37033.2-2018中6.2.2.2。 e) 身份鉴别:可选择支持电子标签对读写器的身份鉴别。电子标签对读写器的身份鉴别实现方 式见GB/T 37033.2-2018中的8.3.2.1。电子标签对读写器的身份鉴别应通过GM/T 0040- 2015中6.2和6.3的检测。读写器与电子标签之间的双向身份鉴别的实现方式见 GB/T 37033.2-2018中8.3.3.1。读写器与电子标签之间的身份鉴别应通过 GM/T 0040- 2015中6.2和6.3的检测。 f) 抗电子标签原发抵赖:可选择支持抗电子标签原发抵赖功能。抗电子标签原发抵赖实现方式 见GB/T 37033.2-2018中6.2.3.1。抗电子标签原发抵赖检测见GM/T 0040-2015中6.6.1。 g) 可选择支持审计功能。读写器的审计记录实现方式见GB/T 37033.2-2018中6.2.6。 h) 密码算法:可选择采用国家密码管理部门核准的密码算法。 信息处理系统中,便于消费者进行商品溯源防伪。 8.1.3 防伪验证系统 防伪验证系统提供对防伪标签的验证查询服务,以及防伪数据信息(产品生产、销售、验证查询等数 据)的下载等。 8.1.4 信息处理系统 包括商品生产、仓储、运输、销售等多类信息的处理系统。 8.1.5 密钥管理系统 负责整个系统中密钥的生成、分散、存储等密钥管理功能,是整个系统中安全核心;为保证该系统的 安全性,密钥管理系统部署在独立的密钥管理中心,与商品溯源防伪应用系统的其他部分(包括信息处 理系统、防伪验证系统、标签发行系统)物理隔离。密钥管理系统生成的密钥,通过密钥卡等安全措施, 分发到商品防伪溯源应用系统的其他部分。 8.1.6 证书签发与身份鉴别系统 电子标签和防伪系统各个环节的设备中集成密码模块,由企业向CA申请企业根证书,用根证书签 发二级证书,二级证书签发三级证书的方式建立证书链,作为电子标签和业务系统、业务系统和业务系 统之间身份鉴别的依据。身份鉴别应按以下要求进行。 a) 业务系统和业务系统之间通信时,采用非对称算法实现身份鉴别。 b) 业务系统和电子标签进行通信时,采用非对称算法进行身份鉴别。 c) 业务系统读写器向电子标签写入信息时,业务系统和读写器进行双向身份鉴别,双向鉴别通过 后,写入信息。双向身份鉴别见附录A。 d) 业务系统读写器从电子标签读取信息时,对读写器进行单向身份鉴别,鉴别通过后,读取信息。 e) 读写器和电子标签内写入的信息用写入方的私钥签名,保证信息的完整性和抗抵赖。 8.2 产品选择 8.2.1 射频电子标签 8.2.1.1 密码安全要求 B类系统中使用的射频电子标签满足以下密码安全要求。 a) 射频电子标签应符合GM/T 0040-2015中规定的Ⅱ类检测要求,射频电子标签所采用的芯 片应符合GM/T 0008规定的不低于二级的检测要求。 b) 存储信息的机密性:应支持对电子标签内存储信息机密性保护。电子标签存储信息的机密性 实现方式见 GB/T 37033.2-2018 中 6.1.1.1。电子标签存储信息的机密性检测见 GM/T 0040-2015中6.3.3。 c) 传输信息的机密性:应支持对电子标签传输信息保护功能。电子标签传输信息的机密性实现 方式见GB/T 37033.2-2018中6.1.1.2。电子标签传输信息的机密性检测见GM/T 0040- 2015中6.3.2。 d) 存储信息的完整性:应支持对电子标签存储信息完整性保护功能。电子标签存储信息的完整 性实现方式见 GB/T 37033.2-2018中6.1.2.1。电子标签存储信息的完整性检测见 GM/T 0040-2015中6.3.5。 e) 传输信息的完整性:应支持对电子标签传输信息完整性保护功能。电子标签传输信息的完整 性实现方式见 GB/T 37033.2-2018中6.1.2.2。电子标签传输信息的完整性检测见 GM/T 0040-2015中6.3.4。 f) 身份鉴别:在对电子标签信息写入时应支持读写器与电子标签之间的双向身份鉴别;在对电子 标签信息读取时,应支持读写器对电子标签的身份鉴别。读写器对电子标签的身份鉴别实现 方式见GB/T 37033.2-2018中的8.3.2.2。读写器与电子标签之间的双向身份鉴别的实现方 式见GB/T 37033.2-2018中的8.3.3.2。读写器与电子标签之间的身份鉴别应通过 GM/T 0040-2015中6.2和6.3的检测。 g) 抗读写器抵赖:应支持抗读写器抵赖功能。抗读写器抵赖实现方式见GB/T 37033.2-2018 中的6.1.3.3。 h) 访问控制:应支持访问控制功能,保障存储信息在受控权限下进行访问。电子标签的访问控制 实现方式见GB/T 37033.2-2018中6.1.5。电子标签的访问控制检测见GM/T 0040-2015 中6.5。 i) 审计:应支持审计功能。电子标签的审计实现方式见GB/T 37033.2-2018中6.1.6。电子标 签的审计检测应满足GM/T 0040-2015中6.8审计功能检测。 j) 密码算法:应采用国家密码管理部门核准的密码算法。 k) 宜选用国家密码管理部门核准的密码产品。 8.2.1.2 可选密码安全要求 B类系统中使用的射频电子标签根据应用需求,可选择支持以下密码安全要求: 抗电子标签原发抵赖:抗电子标签原发抵赖的实现方式见GB/T 37033.2-2018中6.2.3。抗电子 标签原发抵赖检测见GM/T 0040-2015中6.6.1。 8.2.2 射频读写器 8.2.2.1 密码安全要求 B类系统中使用的密码安全功能射频读写器满足以下密码安全要求。 a) 存储信息的机密性:应支持对读写器内存储信息的机密性保护。读写器存储信息的机密性实 现方式见GB/T 37033.2-2018中6.2.1.1。 b) 传输信息的机密性:应支持对读写器传输信息保护功能。读写器传输信息的机密性实现方式 见GB/T 37033.2-2018中6.2.1.2。 c) 存储信息的完整性:应支持对读写器存储信息完整性保护功能。读写器存储信息的完整性实 现方式见GB/T 37033.2-2018中6.2.2.1。 d) 传输信息的完整性:应支持对读写器传输信息完整性保护功能。读写器传输信息的完整性实 现方式见GB/T 37033.2-2018中6.2.2.2。 e) 身份鉴别:B类安全级别读写器在信息写入时,应支持电子标签对读写器的身份鉴别,在信息 读取时可选择支持电子标签对读写器的身份鉴别。电子标签对读写器的身份鉴别实现方式见 GB/T 37033.2-2018中的8.3.2.1。电子标签对读写器的身份鉴别应通过GM/T 0040-2015 中6.2和6.3的检测。 f) 抗电子标签原发抵赖:应支持抗电子标签原发抵赖功能。抗电子标签原发抵赖实现方式见 GB/T 37033.2-2018中6.2.3.1。抗电子标签原发抵赖检测见GM/T 0040-2015中6.6.1。 g) 抗读写器抵赖:应支持电子标签抗读写器抵赖功能。电子标签抗读写器抵赖的实现方式见 GB/T 37033.2-2018中6.2.3.3。 h) 访问控制:应支持访问控制功能。读写器访问控制实现方式见GB/T 37033.2-2018中6.2.5。 i) 审计:应支持审计功能。读写器的审计记录实现方式见GB/T 37033.2-2018中6.2.6。 j) 密码算法:应采用与电子标签中密码算法相适应的国家密码管理部门核准的密码算法。 k) 宜选用国家密码管理部门核准的密码产品。 8.2.3 安全网关 宜选用国家密码管理部门核准的密码产品。 8.2.4 密码机 符合GM/T 0030要求,宜选用国家密码管理部门核准的密码产品。 8.3 实施建议 8.3.1 信息处理系统 使用安全网络及网关产品保障信息处理系统传输安全性;保障信息处理系统存储和访问安全性,见 GB/T 37092和GM/T 0039。 8.3.2 中间件 使用安全网络及网关产品保障中间件传输安全性;保障中间件存储和访问安全性,见GB/T 37092 和GM/T 0039。 8.3.3 CA和密钥管理系统 8.3.3.1 CA和密钥管理系统安全要求 CA和密钥管理系统应有两个证书管理发行系统,分别为企业证书系统和销售管理证书系统。两 个证书管理发行系统应由第三方电子认证服务机构实施。 所有系统均采用密码模块保证对应证书的密钥安全,保证私钥不被导出、不被复制。同时工作流程 中,操作员配备密码模块(如智能密码钥匙),操作流程被数字签名,保证操作流程可控,并且被审计和 追责。 数字认证系统的密码协议应符合GM/T 0014规定的要求。 8.3.3.2 CA中心发放企业根证书 企业发证中心的安全模块,随机生成非对称密钥,作为签名密钥对。 企业将本企业信息、签名公钥提交到CA中心,CA中心核实企业身份后为企业发放由CA私钥签 名的数字证书。 数字证书包含企业基本信息、企业公钥、发放机构、使用期限......