GM_T 0035.3-2014射频识别系统密码应用技术要求 第3部分：读写器密码应用技术要求.pdf

ICS 35.040GML 80备案号：44638—2014中华人民共和国密码行业标准GM/T 0035.3—2014射频识别系统密码应用技术要求第3部分：读写器密码应用技术要求Specifications of cryptographic application for RFID systems-Part 3 : Specification of cryptographic application for RFID reader2014-02-13发布2014-02-13实施国家密码管理局发布 GM/T 0035.3-—2014目次前言范围12规范性引用文件3术语和定义4符号和缩略语5读写器基本结构6密码安全要素6.1机密性6.2完整性6.3抗抵赖6.4身份鉴别6.5访问控制6.6审计记录6.7密码配置6.8其他安全措施7密码安全技术要求附录A（资料性附录）读写器密码安全应用实例A.1读写器安全需求A.2　SAM命令集A.3密钥管理A.4访问控制A.5读写器与电子标签的双向身份鉴别10A.6机密性和完整性11A.7抗抵赖12A.8读写器与上位机通信安全12 GM/T 0035.3--2014表 A.2系统中用到的密钥密钥算法用途产生保存生命周期备份SM1/KA分散出密钥 KE密码机密码机整个赛事密码机SM4SM1/KB分散出密钥KF密码机密码机、验票读写器整个赛事密码机SM4SM1/密码机整个赛事密码机 KC外部认证密钥密码机、验票读写器SM4私钥：密码机；KDSM2签名和验证签名密码机公钥:密码机和验票整个赛事密码机读写器由密钥KA发票时：分散得到并写人门票KESM7门票门票的主密钥不备份分散出门票中:整个赛事发票时：分散得到并写入门票由密钥KB验票读写器中：分散得到一值到KFSM7门票的验票密钥门票不备份分散出验证密钥结束门票中:整个赛事注：密码机是指在密钥生成、门票签发，以及上位机与读写器通信安全保护时上位机中采用的密码设备。A.3.3密钥注入读写器密钥的分发和注人在密钥管理中心进行，根据读写器的不同应用，向读写器内注人不同的密钥，本应用中向验票读写器中注人3个密钥，包括用于分散得到验票密钥的SM1/SM4密钥KB、用于与密钥的完整性检验利用 SM3算法,在密钥分发前计算密钥的验证码,并将验证码随密钥一同分发，读写器在接收到密钥后要对验证码进行验证。A.3.4密钥存储私钥：SAM模块不提供能够导出保存在其中的非对称密钥对中私钥的接口，也就是说一旦使用SAM模块产生了密钥对并保存起来,那么只有 SAM自身拥有私钥。SM1/SM4密钥：SM1/SM4分组密码算法的密钥不能通过任何接口读出，只能在满足安全条件下参与运算或被修改。内不存储。A.3.5密钥分散密钥分散方法如图A.2所示，密钥长度及密钥分散因子长度均为16字节。将密钥分散因子作为输人数据，用SM1/SM4算法做加密运算，产生的16字节数据作为子密钥。8 GM/T 0035.3--2014密钥分散因子个KEY加密个子密钥（16字节）图A.2密钥分散计算方法A.3.6密钥使用读写器内的 SM1/SM4 密钥KB用于分散出 SM7算法使用的验票密钥。读写器内的SM1/SM4密钥KC用于读写器与上位机之间的身份鉴别，以及 SAM内敏感信息加密。SM7密钥由KB分散得到,其参与的加解密操作在SAM模块内部完成，用于读写器与电子标签挑战响应身份鉴别，以及传输加密的密钥协商。A.4访问控制A.4.1 文件系统所有密钥和其他数据都存储在文件系统中，安全的文件系统是SAM模块的安全基础。读写器SAM文件系统结构及权限说明如表A.3所示。表A.3SAM文件结构及权限说明文件名称标识符权限密钥说明主控密钥 KC,成功认证后可获得主控密钥权限，可建根目录MF3F00全局权限标识为0000 的立文件、目录等相应权限操作外部认证密钥除 0000、成功认证后可获得主控密钥权限，可建环境目录 DDF3F00、FFFF全局权限主控密钥 KC立文件、目录等相应权限操作外其他值除 0000、成功认证后可获得主控密钥权限，可建应用目录 ADF3F00、FFFF局部权限主控密钥 KC立文件等相应权限操作外其他值除 0000、读写该文件时，若需要计算密文和校验读写权限设置，可设置主控密钥KC或透明文件3F00.FFFF码，则使用读/写密钥短标识对应的密1～15 级权限传输密钥外其他值钥值进行计算除 0000、读写该文件时，若需要计算密文和校验读写权限设置，可设置主控密钥KC或记录文件3F00、FFFF码，则使用读/写密钥短标识对应的密1~15级权限传输密钥外其他值钥值进行计算 GM/T 0035.3—2014表A.3(续)文件名称权限密钥标识符说明只能写人或修改，不能从SAM中读出。更新存放 SM1