GB_T35290-2023信息安全技术射频识别(RFID)系统安全技术规范.docx

ICS35.030CCS1.80)<sips<中华人民共和国国家标准GB/T352902023代替GB/T352902017信息安全技术射频识别(RFlD)系统安全技术规范Informationsecuritytechnology-SecuritytechnicalSpeciflcationforradiofrequencyidentification(RFID)systems2023-12-28发布2024-07-01实施国家市场监督管理总局国家标准化管理委员会目次前言IlI1范围12规范性引用文件13术语和定义14符号和缩略语35概述35.1 系统组成35.2 系统安全风险46系统安全分级57安全技术要求57.1 电子标签安全57.2 阅读器/读写器安全77.3 空中接口通信链路安全97.4 网络传输通信链路安全107.5 管理单元安全108测试条件138.1 一般要求138.2 测试环境条件148.3 通用测试设备149测试评价方法159.1 电子标签安全测试评价159.2 阅读器/读写器安全测试评价209.3 空中接口通信链路安全测试评价269.4 网络传输通信链路安全测试评价309.5 管理单元安全测试评价32参考文献40图1射频识别系统示意图3表1射频识别系统的安全风险4本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件代替GB/T352902017信息安全技术射频识别（RFID）系统通用安全技术要求，与GB/T352902017相比，除结构调整和编辑性改动外，主要技术变化如下：一一更改了范围（见第1章，2017年版的第1章）；一一增加并更改了术语和定义（见第3章，2017年版的3.1）; 更改了符号和缩略语（见第4章，2017年版的3.2）;更改了系统组成（见5.1,2017年版的4.1）; 增加了系统安全风险（见5.2）; 更改了系统安全分级（见第6章，2017年版的4.2）;更改了电子标签安全要求的数据校验要求（见7.1.2.6,2017年版的5.1.2.6）; 增加了阅读器/读写器安全技术要求的标识唯一性、安全审计和安全审计机密性保护要求（见7.21.1、7.21.9、7.224）; 增加了空中接口通信链路安全技术要求的数据完整性要求（见7.3.2.1）; 删除了网络传输通信链路安全技术要求的完整性恢复机制要求（见2017年版的5.4.2.3）;一增加了管理单元安全中关于授权的程序装载与更新、恶意代码防范、可信验证、数据备份恢复、安全审计的基本级要求现7.5.1.3、7.5.1.7、7.5.1.8、7.5.1.9、7.5.1.10）,以及关于访问控制、数据完整性、数据保密、可信验证、入侵防范、恶意代码防范、可恢复性、安全审计的增强级要求（见7.5.21、7.5.22、7.5.23、7.5.24、7.5.29、7.5.210、7.5.211、7.5.212）,删除了可理解格式的增强级要求（见2017年版的5.5.2.1.3）; 增加了测试环境要求（见第8章）； 增加了测试评价方法（见第9章）o请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAeTrC260）提出并归口。本文件起草单位：公安部第三研究所、中国电子技术标准化研究院、北京中科国技信息系统有限公司、上海伊世智能科技有限公司、上海临港电力电子研究有限公司、腾讯云计算（北京）有限责任公司、珠海复旦创新研究院、郑州信大捷安信息技术股份有限公司、上海化工院检测有限公司、长扬科技（北京）有限公司、西安交大捷普网络科技有限公司、中国汽车工程研究院股份有限公司、中国网络安全审查技术与认证中心、广东技安科技有限公司、浙江工业大学。本文件主要起草人：刘彩霞、顾健、谢芳艺、张艳、丸坍丹、焦志皓、询、李哲、戴杰、刘虹、张东举、刘宇澄、李建慧、文梅涛、王俊宇、刘为华、王思洋、赵华、何建锋、刘冲、申永波、何红亮、顾国民。本文件及其所代替文件的历次版本发布情况为： 2017年首次发布为GB/T352902017;一本次为第一次修订。信息安全技术射频识别(RFlD)系统安全技术规范1范围本文件规定了射频识别(RFID)系统安全技术要求，包括电子标签、阅读器/读写器、空中接口通信链路、网络传输通信链路管理单元等的安全要求，给出了测试条件和测试评价方法。本文件适用于射频识别(RFlD)系统的安全功能设计、开发、使用、测试和评估。本文件不适用于5.8GHz频段的射频识别(RFlD)系统。注：本文件不涉及物理攻击安全风险的安全功能要求或安全性能要求。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T20271信息安全技术信息系统通用安全技术要求GB/T28925信息技术射频识别2.45GHZ空中接口协议GB/T29261.3信息技术自动识别和数据采集技术词汇第3部分：射频识别GB/T29768信息技术射频识别800/900MHz空中接口协议GB/T32915信息安全技术二元序列随机性检测方法GB/T33848.3信息技术射频识别第3部分：13.56MHZ的空中接口通信参数GB/T37033.1-2018信息安全技术射频识别系统密码应用技术要求第1部分：密码安全保护框架及安全级别GB/T37033.2-2018信息安全技术射频识别系统密码应用技术要求第2部分：电子标签与读写器及其通信密码应用技术要求GB/T37033.32018信息安全技术射频识别系统密码应用技术要求第3部分：密钥管理技术要求3术语和定义GB/T2027UGB/T29261.3、GB/T28925、GB/T29768、GB/T37033.1-2018、GB/T37033.2-2018、GB/T37033.3-2018界定的以及下列术语和定义适用于本文件。3.1射频识别radiofrequencyidentification;RFID在频谱的射频部分，利用电磁耦合或感应耦合，通过各种调制和编码方案，与电子标签交互通信读取电子标签唯一身份的技术。来源：GB/T29261.32012,05.01.013.2射频识别系统radiofrequencyidentificationsystem采用射频识别技术，包含一个或者多个阅读器/读写器、一个或者多个电子标签、阅读器/读写器和电子标签之间的空中接口通信链路、阅读器/读写器和管理单元之间的网络传输通信链路和管理单元的自动识别和数据采集系统。来源：GB/T29261.32012,05.04.11,有修改3.3电子标签electronictag用于物体或物品标识、具有至少包含唯一标识符的信息存储功能、能接收阅读器/读写器的电磁场调制信号，并返回响应信号的数据载体。注：电子标签又称为射频标签、应答器、机动车标识等，简称标签。来源：GB/T29261.32012,05.04.01,有修改3.4被动标签passivetag自身没有内部供电电源，内部集成电路通过接收到的电磁波进行驱动，用于物体或物品标识、具有信息存储功能，受到阅读器/读写器发出的射频信号激励，能反射并调制从阅读器/读写器接收到的载波信号，并返回响应信号的数据载体。来源：GB/T29261.32012,05.04.04,有修改3.5半主动标签semi-activetag自身带有内部供电电源，仅能供应内部集成电路且不能主动对外发送数据，用于物体或物品标识、具有信息存储功能，受到阅读器/读写器发出的射频信号激励，能反射并调制从阅读器/读写器接收到的载波信号，并返回响应信号的数据载体。3.6主动标签activetag自身带有内部供电电源，既供应内部集成电路所需电源且能主动对外发送数据，用于物体或物品标识、具有信息存储功能且相对较大的存储容量，具有产生无线电信号能力，能接收阅读器/读写器的电磁场调制信号，并返回响应信号的数据载体。来源：GB/T29261.32012,05.04.05,有修改3.7阅读器reader用于从电子标签获取数据但不能向标签写入数据的电子设备。3.8读写器readerriter用于从电子标签获取数据和向电子标签写入数据的电子设备。来源：GB/T29261.32012,05.04.02,有修改3.9管理单元managementunit用于实现管理阅读器/读写器的系统或组成部分。注：管理单元可由中间件、计算段端、数据库、服务器等组成。3.10通信箧路communicationlink射频识别系统中阅读器/读写器和电子标签之间采用无线通信方式的空中接口通信信道、阅读器/读写器与管理单元之间采用有线通信和/或无线通信方式的网络传输通信信道。3.11灭活kill采用擦除电子标签存储信息等方法，使电子标签不能产生调制信号激活射频场从而失效的操作。注1:被灭活的电子标签上电即进入灭活状态，并保持灭活状态。注2:电子标签处于灭活状态时无法通过上电白动进入到准备状态，同时无法通过响应读写器指令进入仲裁、应答、确认、鉴别、开放和安全等其他状态。4符号和缩略语下列符号和缩略语适用于本文件。DDoS:分布式拒绝服务(DiStribUtedDenialofSen,ice)DoS:拒绝服务(DenialofService)HMAC:采用密码杂凑函数生成的消息鉴别码(HaShMessageAuthenticationCode)ICMPFlOod:互联网控制报文协议洪水(InternetControlMessageProtocolFlood)ID:标识符(IdentiIydocument)KrR:传输密钥(KeyforTransport)MAC:消息鉴别码(MeSSageAuthenticationCode)SMS:短信服务(ShortMessageService)SNMPTraP:简单网络管理协议陷阱(SimPIeNetworkManagementProtocolTrap)SYNFlOOd:同步洪水(SynehrOniZeFlood)TID:电子标签标识符(TagIdentifier)UID:唯一标识符(UniqUeIdentifier)5.1 系统组成射频识别系统是由电子标签、阅读器/读写器、通信链路及管理单元等四个部分组成的自动识别系统。其中，电子标签包括被动标签、半主动标签、主动标签，通信链路包括电子标签与阅读器/读写器之间的空中接口通信链路和阅读器/读写器与管理单元之间的网络传输通信链路。通常，阅读器/读写器在一个区域发射电磁场能量，被动标签、半主动标签经过这个区域时感应到阅读器/读写器的信号后使用调制散射方式进行相应的反馈，阅读器/读写器接收被动标签、半主动标签发送的信号，经解码和校验数据的完整性等多个交互流程后，将信息传送给管理单元完成相应的处理工作；主动标签则用自身的射频能量主动给阅读器/读写器发送数据，阅读器/读写器接收主动标签发送的信号，经解码和校验数据的完整性后，将信息传送给管理单元完成相应的处理工作。射频识别系统的安全防护范围见图1,一般包括电子标签、空中接口通信链路、阅读器/读写器、网络传输通信链路、管理单元。注：网络传输通信链路可能采用有线通信和/或无线通信方式，以虚线表示。5.2 系统安全风险射频识别系统的开放式设计决定了系统存在自身脆弱性及易受外部攻击的安全风险。其安全风险存在于数据获取、数据传输、数据处理和数据存储等各个环节。电子标签、阅读器/读写器、管理单元、电子标签和阅读器/读写器之间的空中接口通信链路、阅读器/读写器和管理单元之间的网络传输通信链路等构成射频识别系统的各组成部分均面临安全风险。具体安全风险见表1。表1射频识别系统的安全风险序号风险名称风险描述1RFID嗅探大部分不具备安全设计的电子标签不能认证射频识别阅读器/读写器的合法性，攻击者使用自己的阅读器/读写器去套取该类电子标签的内容2RFlD伪造普通不具备安全设计的电子标签不做任何加密操作，攻击者可轻易将信息写入一张空白的电子标签中或者修改一张现有的电子标签，以获取所仿冒电子标签在其对应认证系统中的访问权限3窃听普通不具备安全设计的电子标签发送的信号、阅读器/读写器发送的信号可被非法阅读器/读写器或频谱仪等窃听设备在电子标签和阅读器/读写器之间的空中接口通信链路中或阅读器/读写器和管理单元之间的网络传输通信链路中获取，通过其电磁特征来获得标签和阅读器/读写器之间或其他RFID通信设备之间的通信数据，并进而跟踪商品流通动态等4跟踪通过读取电子标签上的内容，攻击者可跟踪一个对象或人的运动轨迹。当一个电子标签进入到了阅读器/读写器可读取的范围内时，阅读器/读写器可以识别电子标签并记录下电子标签当前的位置5拒绝服务攻击当阅读器/读写器收到来自电子标签的认证信息时，它会将认证信息与后端数据库内的信息进行比对。阅读器/读写器和后端数据库都很容易遭受拒绝服务攻击。当出现拒绝服务攻击时，阅读器/读写器将无法完成对电子标签的认证6欺骗攻击者把自己伪造成后端数据库管理员等合法用户，进行更改RFlD标识、拒绝iE常服务等操作7插入攻击攻击者试图向射频识别系统发送一段系统命令而不是原本正常的数据内容，如将攻击命令插入到电子标签存储的正常数据中等8重放攻击攻击者通过截获电子标签与阅读器/读写器之间的通信，记录下电子标签对阅读器/读写器认证请求的回复信息，并在之后将这个信息重放给阅读器/读写器。如攻击者重放电子标签和阅读器/读写器之间用于认证的信息等9物理攻击攻击者在物理上接触到电子标签实体并篡改电子标签的信息。物理攻击有多种方式，如去除电子标签的芯片封装，使用微探针读取修改电子标签内容、使用X射线或者其他射线破坏电子标签内容、使用电磁干扰破坏电子标签与阅读器之间的通信、利用微处理器的通用通信接【1,通过软件扫描标签和响应读写器的探询，删除标签内容或篡改可重写标签内容以及通过干扰广播、阻塞信道或其他手段，产生异常的应用环境，使合法处理器产生故障，进行拒绝服务的攻击等10病毒病毒可以破坏或泄露后端数据库中存储的电子标签内容，拒绝或干扰阅读器/读写器与后端数据库之间的通信*1射频识别系统的安全风险（续）序号风险名称风险描述11事件记录失败系统可能未成功记录相关安全事件；攻击者可能通过耗尽审计数据存储空间的方法，从而掩盖其攻击行为12非授权访问非授权用户可能试图访问和使用系统电子标签与阅读器/读写器并对其更改以实现其他目的13信息泄露恶意用户可能浏览远程授权管理员和系统之间发送的相关信息14滥用授权用户可能访问管理单元获取信息后用于商品营销或个人行为偏好收集等不当商业目的：授权用户可能访问管理单元获取信息后披露给未经授权的第三方，用于人员行踪分析或目标跟踪等非法目的15状态异常系统可能遭受断电、故障等异常情况，导致受保护的应用无法正常提供服务16网络攻击系统可能遭受抗拒绝服务攻击等网络攻击，导致受保护的应用无法正常提供服务注1：射频识别系统的实际安全风险包括并不限于本表所列项目.注2:本表分析了射频识别系统存在的物理攻击风险。6系统安全分级依据射频识别系统组成，本文件将射频识别系统通用安全技术要求按电子标签安全、空中接口通信链路安全、阅读器/读写器安全、网络传输通信链路安全及管理单元安全共5个部分给出，每个部分的安全技术要求分别划分为2个等级：基本级和增强级。射频识别系统应至少满足基本级安全技术要求。本文件中增强级要求仅列出了除基本级技术要求外的增强级要求和相对基本级安全要求增强的技术要求。增强级等级射频识别系统应在符合基本级安全技术要求的基础上满足增强级安全技术要求。注1：基本级安全技术要求参照GB/T222392019中6.1安全通用要求和6.4物联网安全扩展要求的第一级安全保护能力要求；增强级安全技术要求参照GB/T22239-2019中7.1安全通用要求和7.4物联网安全扩展要求的第二级安全保护能力要求。注2:电子标签基本级安全技术要求参照GB/T37033.12018中的第二级要求、增强级安全技术要求参照GB/T37033.1-2018中的第三级要求，阅读器/读写器基本级安全技术要求参照GB/T37033.12018中的第三级要求、增强级安全技术要求参照GB/T37033.12018中的第四级要求，空中接口通信链路基本级安全技术要求参照GB/T37033.12018中的第二级要求、增强级安全技术要求参照GB/T37033.12018中的第三级要求，网络传输通信链路基本级安全技术要求参照GB/T37033.12018中的第二级要求、增强级安全技术要求参照GB/T37033.1-2018中的第三级要求，管理单元基本级安全技术要求参照GB/T37033.12018中的第三级要求、增强级安全技术要求参照GB/T37033.1-2018中的第四级要求。7安全技术要求7.1 电子标签安全7.1.1 基本破要求7.1.1.1 唯一性标识电子标签应具有不可更改的唯一标识。7.1.1.2 竭900MHZ频段的电子标签或2.45GHz频段的电子标签应具有灭活功能。灭活应符合以下要求：a）电子标签在接收到包含灭活口令的特殊指令后进入灭活状态；b）灭活状态的电子标签不再响应任何外部指令；c）灭活口令受灭活密钥控制。7.1.1.3基于口令验证的访问控制基于口令验证的电子标签应具备访问控制。基于口令验证的访问控制应符合以下要求：a）仅通过口令验证的阅读器/读写器访问其用户区；b）口令具有复杂度策略要求，其中至少包含大写字母、小写字母、数字和特殊字符中的三种，且不少于8位字符；c）同一电子标签的不同存储区域的访问口令各不相同；d）不同电子标签的访问口令各不相同。7.1.1.4 侑息防热改电子标签应能防止其存储数据被未经授权的攻击者篡改。7.1.1.5 咖、法指令电子标签应仅响应协议及制造商规定的指令，对于无法识别的指令应不予响应。7.1.1.6 随机数产生电子标签应具备随机数发生器。随机数发生器应能产生长度与密码算法分组长度一致的随机数且随机数二元序列随机性应符合GB/T32915中的符合性结果判定。7.1.1.7 基于密码技术验证的访问控制主动标签应仅通过密码技术验证的阅读器/读写器访问其存储区。不同电子标签或同一电子标签的不同存储区域所用的密钥宜各不相同。注：除注明仅适用于主动标签的安全功能要求外，7.1中的其余安全功能要求同时适用于被动标签、半主动标签和主动标签。7.1.1.8 片内程序更新的完整性保护主动标签应具备片内程序更新完整性校验功能。7.1.2增强级要求7.1.2.1 完赘性保护电子标签应具备对其传输的数据提供完整性保护的能力。7.1.2.2 前向安全性电子标签应具备前向安全性。当电子标签中的密钥泄露时，前向安全性功能应能使电子标签之前与阅读器/读写器交互的消息仍然安全。7.1.2.3 基于密码技术的访问控制基于密码技术的电子标签应仅通过身份鉴别协议验证的阅读器/读写器访问其存储区。不同电子标签或同一电子标签的不同存储区域的密钥宜各不相同。1.1.24 敏感信息保护、销毁和1博电子标签应具有敏感信息保护、销毁和管理功能。敏感信息保护、销毁和管理应符合以下要求:a）支持带校验的敏感信息加密存储；b）对可读取的敏感信息，提供安全机制保证敏感信息明文只在电子标签内部进行处理；c）清除标签内敏感信息时不透露敏感信息本身。1.1.25 基于密码技术的数据加密主动标签应对存储在内的敏感信息采用密码技术进行加密保护。密码技术应符合GB/T37033.1-2018、GB/T37033.22018和GB/T37033.32018的规定。1.1.26主动标签应对传输的数据进行完整性校验，防止数据被篡改、删除或插入。1.1.27 签名服务当主动标签作为数据的原发送方时，应能对所发送数据生成数字签名；当电子标签作为阅读器/读写器数据的接收方时，应能验证阅读器/读写器的签名数据。7.2 阅读器/读写器安全7.21 基本级要求7.21.1 RJ-14阅读器/读写器应具有不可更改的唯一性标识。1.1.1 .2基于口令验证的身份鉴别读写器应采用具有复杂度策略要求的口令验证对读写电子标签信息等操作进行身份鉴别。对不同的操作权限应设置不同的口令。1.1.2 .3基于密码技术验证的访付读写半主动标签和/或主动标签的读写器应采用密码技术验证对电子标签信息读写、密钥存储、密钥更新等操作设置控制权限。对不同的权限应设置不同的密钥进行访问控制，应阻止非授权的访问。密码技术应符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的规定。1.1.3 .4授权的程序装载与更新阅读器/读写器应具有授权的程序装载与更新功能。7.21.5 初始化权限控制读写器应对电子标签的初始化信息设定控制权限。7.21.6 前继粉阅读器/读写器对与电子标签之间传输的数据应进行自校验计算，以发现数据被篡改、删除和插入等情况，确保传输信息的完整性。7.21.7 M11阅读器/读写器内应具有随机数发生器。随机数发生器应能产生长度与密码算法分组长度一致的随机数且随机数二元序列随机性符合GB/T32915中的符合性结果判定。7.21.8 敏感信息保护、销毁和管理阅读器/读写器应能正确、有效地存储、更新和销毁敏感信息。阅读器/读写器应对敏感信息的访问设置相应权限。7.21.9 安全审计7.21.9.1 审计数据生成阅读器/读写器应能生成电子标签的读取或写入及管理单元接入情况等审计数据。7.21.9.2 审计内容阅读器/读写器生成的安全审计应至少包含以下内容：a）电子标签的读取或写入日期或时间；b）配置管理；C）阅读器/读写器的注册、注销；d）阅读器/读写器的在线、离线状态；e）设备故障：D设备更新；g）其他可审计信息。7.21.9.3 授权查阅阅读器/读写器应设置审计内容查阅权限，确保仅授权人员能对审计内容进行查阅。7.21.9.4 数据建性保护阅读器/读写器应具备数据完整性保护机制，确保存储的日志信息不被篡改、伪造和恶意删除。7.2.2增强级要求7.2.2.1 基于密码技术的访问控制阅读器/读写器应具有基于密码技术的访问控制功能。基于密码技术的访问控制应符合以下要求：a）阅读器/读写器采用密码技术对读写标签信息、密钥存储、密钥更新等操作设置控制权限；b）对不同的权限设置不同的密钥进行访问控制；c）能阻止所有非授权的访问；d）密码技术符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的规定。7.2.2.2 基于密码技术的数据加密阅读器/读写器应具有基于密码技术的数据加密功能。基于密码技术的数据加密应符合以下要求：a）采用密码技术对存储的敏感信息进行加密保护，防止敏感信息非授权泄露；b）采用密码技术对传输的敏感信息进行加密保护；c）密码技术符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的规定。7.223林财阅读器/读写器应具有签名服务功能。签名服务应符合以下要求：a）当阅读器/读写器作为信息的原发者时，阅读器/读写器对向电子标签传输的数据产生数字签名；b）当阅读器/读写器作为电子标签签名信息的验证主体时，阅读器/读写器能验证电子标签的签名数据。7.2.2.4安全审计保密性保护阅读器/读写器应采用安全的密码技术对存储的安全审计进行加密保护。密码技术应符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的规定。7.3 空中接口通信链路安全7.3.1 基本级要求7.3.1.1系统应采用数据校验技术保证空中接口通信链路传输过程中的数据完整性。7.3.1.2 «18舸½3B14系统应保障空中接口通信链路中传输的数据信息来源可追溯。7.3.2 增强级要求7.3.21 8mstt系统应采用密码算法保证空中接口通信链路传输过程中的数据完整性。7.3.22系统应对空中接口通信链路中传输的数据信息进行加密保护，采用的密码技术应符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的规定。7.3.23系统应具有空中接口通信链路数据时效性。空中接口通信链路数据时效性应符合以下要求：a）空中接口通信链路中传输的数据信息包含数据发布的系统时间信息；b）采用包含实时时间信息的加密技术或基于时间序列的数据加密技术来实现时间信息的防篡改保护；c）实现时间信息防篡改保护的密码技术符合GB/T37033.12018.GB/T37033.22018和GB/T37033.32018的规定。7.324系统空中接口通信链路传输的数据应具有抗电子标签抵赖、抗电子标签原发抵赖、抗读写器抵赖功能。7.4 网络传输通信链路安全7.4.1 基本级要求7.4.1.1系统应采用加密方法或其他措施保障网络传输通信链路中传输数据的保密性。7.4.1.2 m114系统应具有网络传输通信链路数据完整性。网络传输通信链路数据完整性应符合以下要求：a）采用数据校验技术保证空中接口通信链路传输过程中的数据完整性；b）系统管理数据、鉴别信息和重要业务数据在网络传输通信链路中的完整性受到破坏时能检测到并发出提示。7.4.2 增强级要求7.4.21系统应具有网络传输通信链路数据时效性。网络传输通信链路数据时效性应符合以下要求：a）网络传输通信链路中传输的数据信息包含数据发布的系统时间信息；b）采用包含实时时间信息的加密技术或基于时间序列的数据加密技术来实现时间信息的防篡改保护；c）实现时间信息防篡改保护的密码算法符合国家密码有关标准。7.4.22 2JW6SpStt系统应具有网络传输通信链路数据源可追溯性。网络传输通信链路数据源可追溯性应符合以下要求：a）采用数字签名和校验机制来实现保障网络传输通信链路中传输的数据信息来源可追溯；b）数字签名算法符合国家密码有关标准。7.423系统网络传输通信链路传输的数据应具有抗读写器抵赖功能。7.5 管理单元安全7.5.1 基本级要求7.5.1.1 购豳J管理单元应具备身份鉴别功能。身份鉴别应符合以下要求：a）采用唯一标识符对每个接入的阅读器/读写器进行身份鉴别，通过身份鉴别的阅读器/读写器才能接入管理单元；b）对登录系统管理软件的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；c）具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。7.5.1.2 访问JS制管理单元应具有访问控制功能。访问控制应符合以下要求：a）通过访问控制列表对登录系统管理软件的用户分配账户和权限，提供明确的访问保障能力和拒绝访问能力；b）支持重命名或删除默认账户，修改默认账户的默认口令；c）支持及时删除或停用多余的、过期的账户，避免共享账户的存在。7.5.1.3 授权的程序装载与更新管理单元应具有授权的程序装载与更新功能。7.5.1.4管理单元应保护储存于设备中的鉴别数据和访问控制列表等信息不受未授权查阅、修改和破坏。7.5.1.5 5S½SI管理单元应能监测阅读器/读写器等设备的在线和运行状态。7.5.1.6 密码算法管理单元相关功能所使用的密码算法应符合国家密码有关标准。7.5.1.7 恶意代码防范管理单元应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。7.5.1.8 可信验证管理单元应基于可信根对计算设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。7.5.1.9 数据备份恢复管理单元应提供重要数据的本地数据备份与恢复功能。7.5.1.10 安全审计7.5.1.10.1 审计数据生成管理单元应能生成阅读器/读写器的接入操作、运行情况、操作事件、用户行为记录等审计数据。7.5.1.10.2 W管理单元生成的安全审计应至少包含以下内容：a）事件ID;b）事件主体：c）事件客体；d）事件发生的日期和时间；e）事件的结果；f）其他可审计信息。7.5.1.10.3 授权查阅管理单元应确保除授权管理员之外，其他用户无权对审计记录进行查阅。7.5.2 增强级要求7.5.21 i'三BSSJ管理单元应具有访问控制功能。访问控制应符合以下要求：a）在网络边界根据访问控制策略设置访问控制规则，默认情况下除可通信外受控接口拒绝所有通信；b）删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c）对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；d）能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。7.5.22 mSft管理单元应采用数据校验技术保证组件之间通信过程中的数据完整性。7.5.23管理单元应通过加密等方式来保护包括组件之间通信数据不被非授权获取。7.5.24 可管理单元应可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计内容送至安全管理中心。7.5.25 ft三8三管理单元应能执行以下信息流控制功能：a）对接入的应用协议信息流进行合规性检查；b）对接入的应用协议信息流的协议信令及参数关键字进行过滤；c）对接入的应用协议信息流中的内容进行关键字过滤。7.526½¾管理单元应具备DoSZDDoS攻击防护功能并识别和防御SYNF100d、ICMPFlood等攻击。7.5.27 安全报警管理单元应能提供入侵等指定事件报警功能，报警信息应至少包括以下内容：a）事件主体；b）事件客体；C）事件发生的日期和时间；d）事件描述。7.5.28 S三管理单元应能至少采用以下一种报警方式通知管理员：a）弹出窗报警；b）发送邮件报警；c）发送SNMPTraP消息；d）发出声光信号；e）发送SMS消息。7.5.29 入管理单元应在关键网络节点处监视网络攻击行为。7.5.210 恶意代码防范管理单元应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。7.5.211 可恢复性在存储空间耗尽、遭受攻击等异常情况下，管理单元应采取措施保证已存储的审计记录的可恢复性。7.5.212 安全审计管理单元应具备安全审计功能。安全审计应符合以下要求：a）在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b）审计内容包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。8三S霜8.1 fS求射频识别系统安全性测试应遵循以下要求：a）测试过程中涉及13.56MHZ频段射频识别系统的，空中接口协议默认按照GB/T33848.3的要求；b）测试过程中涉及900MHZ频段射频识别系统的，空中接口协议默认按照GB/T29768的要求；O测试过程中涉及2.45GHZ频段射频识别系统的，空中接口协议默认按照GB/T28925的要求；d）测试前先确认进行安全符合性测试所需的指令和通信参数；e）符合国家密码有关标准的密码算法包括但不限于符合GB/T37033.12018、GB/T37033.22018和GB/T37033.32018的射频识别系统密码；D电子标签安全要求测试选择采用标准的通用的可编程读写装置或基准阅读器/读写器作为测试设备；g）阅读器/读写器安全要求测试选择采用标准的通用的可编程读写装置或基准电子标签作为测试设备；h）当D、g）条件不具备时，采用射频信号发生器向被测电子标签或被测阅读器/读写器发射模拟基准阅读器/读写器或模拟基准电子标签射频信号，采用射频分析仪或频谱分析仪接收被测电子标签或被测阅读器/读写器发射的射频信号方式进行测试。8.2 测试环境条件8.2.1 气候环境条件除气候环境适应性试验外，所有试验均在下述环境条件下进行：环境温度：15C35;相对湿度：45%85%;大气压力：86kPa106kPa。8.22电磁环境条件除另有规定外，电子标签、阅读器/读写器测试应在电波暗室中进行。当电波暗室限制了被测件的摆放和测试距离时，测试可在开阔测试环境下进行。开阔测试环境下选择测试位置时应预先排除杂散辐射影响。在测试场地中，所选择的测试位置的噪声电平应符合以下要求：a）IOkHz测试带宽下，0.5GHZ2GHZ频率范围内的噪声电平W-60dBm;b）在2MHz测试带宽下，0.5GHz5GHZ频率范围内的噪声电平WWOdBm:c） 800UHZ960MHZ工作频率范围内的噪声电平W-90dBm;d） 2.4GHZ2.5GHZ工作频率范围内的噪声电平WTOldBm。8.3通用浦试设备8.3.1 基准阅读器/读写器基准阅读器/读写器应符合以下要求：a）支持对应频段的相关协议及制造商规定的空中接口指令；b）支持编辑相关协议及制造商规定的命令序列；c）支持相关加密命令以及密钥的输入。8.3.2 基准电子标签基准电子标签应符合以下要求：a）支持对应频段的相关协议及制造商规定的空中接口指令响应；b）支持相关加密命令以及密钥的输入。8.3.3 射频信号发生器测试用射频信号发生器应符合以下要求：a）能发射至少包括13.56MHZ频段、800MHZ960MHZ频段、2.4GHZ25GHZ频段的任意射频信号；b）能与频谱分析仪同步；c）在接收到触发射频信号时立即发送相应频段射频信号；d）相位噪声优于一95dBcHz（10k