ICS35.030 CCSL80 中华人民共和国国家标准 GB/T35290—2023 代替GB/T35290—2017 信息安全技术 射频识别(RFID)系统 安全技术规范 Informationsecuritytechnology—Securitytechnicalspecificationforradio frequencyidentification(RFID)systems 2023-12-28发布 2024-07-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号和缩略语 3 …………………………………………………………………………………………… 5 概述 3 ……………………………………………………………………………………………………… 5.1 系统组成 3 …………………………………………………………………………………………… 5.2 系统安全风险 4 ……………………………………………………………………………………… 6 系统安全分级 5 …………………………………………………………………………………………… 7 安全技术要求 5 …………………………………………………………………………………………… 7.1 电子标签安全 5 ……………………………………………………………………………………… 7.2 阅读器/读写器安全 7 ………………………………………………………………………………… 7.3 空中接口通信链路安全 9 …………………………………………………………………………… 7.4 网络传输通信链路安全 10 …………………………………………………………………………… 7.5 管理单元安全 10 ……………………………………………………………………………………… 8 测试条件 13 ………………………………………………………………………………………………… 8.1 一般要求 13 …………………………………………………………………………………………… 8.2 测试环境条件 14 ……………………………………………………………………………………… 8.3 通用测试设备 14 ……………………………………………………………………………………… 9 测试评价方法 15 …………………………………………………………………………………………… 9.1 电子标签安全测试评价 15 …………………………………………………………………………… 9.2 阅读器/读写器安全测试评价 20 …………………………………………………………………… 9.3 空中接口通信链路安全测试评价 26 ………………………………………………………………… 9.4 网络传输通信链路安全测试评价 30 ………………………………………………………………… 9.5 管理单元安全测试评价 32 …………………………………………………………………………… 参考文献 40 …………………………………………………………………………………………………… 图1 射频识别系统示意图 3 ………………………………………………………………………………… 表1 射频识别系统的安全风险 4 …………………………………………………………………………… ⅠGB/T35290—2023 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T35290—2017《信息安全技术 射频识别(RFID)系统通用安全技术要求》,与 GB/T35290—2017相比,除结构调整和编辑性改动外,主要技术变化如下: ———更改了范围(见第1章,2017年版的第1章); ———增加并更改了术语和定义(见第3章,2017年版的3.1); ———更改了符号和缩略语(见第4章,2017年版的3.2); ———更改了系统组成(见5.1,2017年版的4.1); ———增加了系统安全风险(见5.2); ———更改了系统安全分级(见第6章,2017年版的4.2); ———更改了电子标签安全要求的数据校验要求(见7.1.2.6,2017年版的5.1.2.6); ———增加了阅读器/读写器安全技术要求的标识唯一性、安全审计和安全审计机密性保护要求(见 7.2.1.1、7.2.1.9、7.2.2.4); ———增加了空中接口通信链路安全技术要求的数据完整性要求(见7.3.2.1); ———删除了网络传输通信链路安全技术要求的完整性恢复机制要求(见2017年版的5.4.2.3); ———增加了管理单元安全中关于授权的程序装载与更新、恶意代码防范、可信验证、数据备份恢复、 安全审计的基本级要求(见7.5.1.3、7.5.1.7、7.5.1.8、7.5.1.9、7.5.1.10),以及关于访问控制、数 据完整性、数据保密、可信验证、入侵防范、恶意代码防范、可恢复性、安全审计的增强级要求 (见7.5.2.1、7.5.2.2、7.5.2.3、7.5.2.4、7.5.2.9、7.5.2.10、7.5.2.11、7.5.2.12),删除了可理解格式 的增强级要求(见2017年版的5.5.2.1.3); ———增加了测试环境要求(见第8章); ———增加了测试评价方法(见第9章)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:公安部第三研究所、中国电子技术标准化研究院、北京中科国技信息系统有限公 司、上海伊世智能科技有限公司、上海临港电力电子研究有限公司、腾讯云计算(北京)有限责任公司、珠 海复旦创新研究院、郑州信大捷安信息技术股份有限公司、上海化工院检测有限公司、长扬科技(北京) 有限公司、西安交大捷普网络科技有限公司、中国汽车工程研究院股份有限公司、中国网络安全审查技 术与认证中心、广东技安科技有限公司、浙江工业大学。 本文件主要起草人:刘彩霞、顾健、谢芳艺、张艳、刘丹丹、焦志皓、李琳、李哲、戴杰、刘虹、张东举、 刘宇澄、李建慧、刘海涛、王俊宇、刘为华、王思怿、赵华、何建锋、刘冲、申永波、何红亮、顾国民。 本文件及其所代替文件的历次版本发布情况为: ———2017年首次发布为GB/T35290—2017; ———本次为第一次修订。 ⅢGB/T35290—2023 信息安全技术 射频识别(RFID)系统 安全技术规范 1 范围 本文件规定了射频识别(RFID)系统安全技术要求,包括电子标签、阅读器/读写器、空中接口通信 链路、网络传输通信链路管理单元等的安全要求,给出了测试条件和测试评价方法。 本文件适用于射频识别(RFID)系统的安全功能设计、开发、使用、测试和评估。 本文件不适用于5.8GHz频段的射频识别(RFID)系统。 注:本文件不涉及物理攻击安全风险的安全功能要求或安全性能要求。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T20271 信息安全技术 信息系统通用安全技术要求 GB/T28925 信息技术 射频识别 2.45GHz空中接口协议 GB/T29261.3 信息技术 自动识别和数据采集技术 词汇 第3部分:射频识别 GB/T29768 信息技术 射频识别 800/900MHz空中接口协议 GB/T32915 信息安全技术 二元序列随机性检测方法 GB/T33848.3 信息技术 射频识别 第3部分:13.56MHz的空中接口通信参数 GB/T37033.1—2018 信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保 护框架及安全级别 GB/T37033.2—2018 信息安全技术 射频识别系统密码应用技术要求 第2部分:电子标签与 读写器及其通信密码应用技术要求 GB/T37033.3—2018 信息安全技术 射频识别系统密码应用技术要求 第3部分:密钥管理技 术要求 3 术语和定义 GB/T20271、GB/T29261.3、GB/T28925、GB/T29768、GB/T37033.1—2018、GB/T37033.2— 2018、GB/T37033.3—2018界定的以及下列术语和定义适用于本文件。 3.1 射频识别 radiofrequencyidentification;RFID 在频谱的射频部分,利用电磁耦合或感应耦合,通过各种调制和编码方案,与电子标签交互通信读 取电子标签唯一身份的技术。 [来源:GB/T29261.3—2012,05.01.01] 3.2 射频识别系统 radiofrequencyidentificationsystem 采用射频识别技术,包含一个或者多个阅读器/读写器、一个或者多个电子标签、阅读器/读写器和 电子标签之间的空中接口通信链路、阅读器/读写器和管理单元之间的网络传输通信链路和