《信息安全技术射频识别（rfid）系统通用安全技术要求》编制说明

《信息安全技术射频识别（RFID）系统通用安全技术要求》编制说明
1 工作简况
1.1任务来源
2010年，国家标准化管理委员会发出了《关于下达2010年国家标准制修订计划的通知》（国标委综合[2010]87号），正式下达了2010年度国家标准制修订计划，明确将“射频识别（RFID）系统通用安全技术要求”（项目计划号：20100380-T-469）纳入当年标准制定计划。

该标准由全国信息安全标准化技术委员会归口，前期立项申请事宜由工业和信息化部电子工业标准化研究院负责。

2014年3月12日，全国信息安全标准化技术委员会秘书处出具书面函，确认公安部第三研究所为主要起草单位。

随后的标准起草工作中，由公安部第三研究所实际主导该项标准起草工作，工业和信息化部电子工业标准化研究院同步参与该项标准起草工作。

2014年12月26日，全国信息安全标准化技术委员会秘书处在北京应物会议中心召开专家评审会，对公安部第三研究所起草的《射频识别（RFID）系统通用安全技术要求》（征求意见稿初稿）进行首次评审，明确该标准由公安部第三研究所承办并负责组织该标准的制定工作。

2015年8月17日，由公安部第三研究所召集，在上海召开《信
息安全射频识别（RFID）系统通用安全技术要求》（征求意见稿）标准讨论会，全国信息安全标准化技术委员会秘书处派员参会。

1.2协作单位
在承接《信息安全技术射频识别（RFID）系统通用安全技术要求》标准的起草任务后，公安部第三研究所和工业和信息化部电子工业标准化研究院共同成立了起草工作组，很快拿出了标准工作组讨论稿，并立即与RFID系统技术相关厂商、科研单位进行反复沟通、充分征求意见，得到了多家业内知名厂商和研究机构的积极参与和反馈。

依据反馈意见体现的RFID系统安全相关程度，初步选定由中国电子技术标准化研究所、北京中科国际信息系统有限公司、复旦大学、上海交通大学RFID与物联网研究所、中国科学院上海高等研究院作为标准编制协作单位。

在标准编制过程中，通过与生产研发企业和RFID应用客户交流，增加了包括江苏出入境检验检疫局机电产品及车辆检测中心、江苏标准化研究院、上海华虹计通智能系统股份有限公司、杭州中瑞思创科技股份有限公司、北京南瑞智芯微电子科技有限公司、工业和信息化部第五研究所等多家参与起草单位。

1.3主要工作过程
1.3.1成立起草工作组
2014年3月承接《信息安全技术射频识别（RFID）系统通用安全技术要求》标准的起草任务后，公安部第三研究所就立即成立了该
项标准起草工作组，工业和信息化部电子工业标准化研究院也也参与到该项标准起草工作组中。

因此，标准起草工作组由刘彩霞、顾健、张艳、谢芳艺、张振一、范科峰、李琳、龚洁中、姚相振、周睿康、孙伟华、李哲、吴大洲、张志华、王丽娟、刘继顺、李旋、沈亮、何蔚、邵轲等具有丰富的RFID系统安全技术研发经验、RFID系统产品及系统检测经验、RFID系统安全检测经验以及标准编制经验的科研人员共同组成。

为确保完成后的标准贴近RFID系统安全实际需求及国内现有RFID系统安全研发、生产水平，起草工作组吸纳了国内相关技术领域用户单位、研发企事业单位及科研院所的部分研发负责人及主要研发人员参与标准的调研与内容研讨。

1.3.2制定工作计划
编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。

1.3.3参考资料
该标准编制过程中，主要参考了：
•GB/T 20271-2006 《安全技术信息系统通用安全技术要求》•GB/T20272—2006 《信息安全技术操作系统安全技术要求》•GB/T20273—2006 《信息安全技术数据库管理系统安全技术要求》
•GB/T 22239-2008《信息系统安全等级保护基本要求》
•GB/T 18336.2－2008 《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》
•GB/T 18336.3－2008 《信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求》
•GB/T 28925-2012《信息技术射频识别 2.45GHz空中接口协议》•GB/T 22351-2015《信息技术射频识别13.56MHz空中接口协议》•GB/T 29261.3-2012《信息技术自动识别和数据采集技术词汇第3部分：射频识别》
•GB/T 28452-2012 《信息安全技术应用软件系统通用安全技术要求》
•GB/T 29768-2013《信息技术射频识别 800/900MHz空中接口协议》
•GM/T 0035.1-2014《射频识别系统密码应用技术要求第1部分：密码安全保护框架及安全级别》
•GM/T 0035.2-2014《射频识别系统密码应用技术要求第2部分：电子标签芯片密码应用技术要求》
•GM/T 0035.3-2014《射频识别系统密码应用技术要求第3部分：读写器密码应用技术要求》
•GM/T 0035.4-2014《射频识别系统密码应用技术要求第4部分：电子标签与读写器通信密码应用技术要求》
•GM/T 0035.5-2014《射频识别系统密码应用技术要求第5部分：密钥管理技术要求》
1.3.4确定编制内容
经过标准编制组研究决定，以RFID系统的安全技术的测试要求为理论基础，以GB/T 22239-2008《信息系统安全等级保护基本要求》和GB/T 18336.3-2008《信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求》为主要参考依据，完成《信息安全技术射频识别（RFID）系统通用安全技术要求》标准的编制工作。

图1 射频识别（RFID）系统的安全构成
RFID系统是由RFID标签、读写器、通信链路和后端系统和通信链路组成的自动识别系统。

通常，读写器在一个区域发射电磁场能量，射频标签经过这个区域时感应到读写器的信号后发送存储的数据，读写器接收RFID标签发送的信号，解码和校验数据的完整性后，传送给后端系统完成相应的处理工作。

RFID系统的安全技术要求分为安全功能要求和安全保证要求。

由于RFID系统由标签、读写器、通信链路及后端系统等四个部分组成，其中，通信链路又由标签与读写器之间的空中接口和读写器与后端软件之间的网络传输链路两部分组成。

RFID系统通用安全功能要
求相应分为标签安全、读写器安全、通信链路（空中接口）安全、通信链路（网络传输）安全及后端系统安全共五个子类安全技术要求。

依据所具备的安全技术要求不同，标签安全技术要求、读写器安全技术要求、通信链路（空中接口）安全、通信链路（网络通信）安全及后端系统安全技术要求分别划分为2个等级：基本级和增强级。

增强级应在符合基本级安全技术要求的基础上满足增强级要求。

因此，RFID系统的主要安全机制应涵盖以下方面：
1）应提供RFID系统安全环境，对安全环境的相关假设、相关威胁、相关组织安全策略进行描述；
2）应提供RFID系统安全目的，旨在对应已标识的威胁或组织安全策略，并对非技术或程序方法进行处理的安全目的；
3）应建立RFID系统安全的分类原则和分级原则，设计安全级别，针对不同级别采用不同的安全机制。

4）应提供RFID系统安全功能要求的安全机制，根据RFID系统的安全架构，结合RFID系统的工作原理，从基本级要求和增强级要求两个层次展开要求标签安全、读写器安全、通信链路（空中接口）安全、通信链路（网络传输）安全及后端系统安全；
5）应提供加密机制，以保护敏感的用户数据和通信；
6）应支持对各项操作的细粒度的安全审计，包括识别、记录、存储和分析与安全相关活动有关的信息，从而进行责任追溯，降低安全风险。

1.3.5编制工作简要过程
在申请《信息安全技术射频识别（RFID）系统通用安全技术要求》的国家标准制订任务之前，标准编制组就已经开始了前期调研工作。

标准编制组人员首先对所参阅的产品、文档以及标准等资料进行查阅和理解，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。

标准编制组在2014年3月前完成了对RFID系统的相关安全技术文档和有关标准的前期基础调研。

调研期间，主要对检测中心的RFID 读写器、RFID标签和RFID系统的与安全技术有关的检测记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对防卫事业部的RFID读写器、RFID标签和RFID系统的与安全技术有关的产品研发记录、成果以及各产品的技术资料进行筛选、汇总、分析，相关安全对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。

2014年5月，标准编制组完成了《射频识别（RFID）系统通用安全技术要求》（工作组讨论稿）。

工作组讨论稿以《GJB 7369-2011.2679 军用射频识别系统安全通用要求》为蓝本，借鉴GJB 7369-2011.2679中将射频识别系统划分为标签、读写器、后端系统以及读写器和标签之间的通信链路四部分分别提出安全技术要求的标准架构设计方式，同样将射频识别系统划分为标签、读写器、通信链路和后端系统四部分。

GJB 7369-2011.2679中将军用射频识别系统及各个组成部分的安全防护等级划分为A级、B级、C级、D级及E 级，其中“A级适用于防护传输、存储和处理公开的信息；B级适用
于防护传输、存储和处理内部(不宜公开)的信息；C级适用于防护传输、存储和处理秘密级的信息；D级适用于防护传输、存储和处理机密级的信息；E级适用于防护传输、存储和处理绝密级的信息”。

在消化吸收GJB 7369-2011.2679安全防护等级划分方案的基础上，结合民用领域射频识别（RFID）系统应用的安全防护需求特征，起草组在《信息安全技术射频识别（RFID）系统通用安全技术要求》选择了“划分为A、B、C三个等级，其中C级为基本要求， A级为最高要求。

系统应至少满足C级要求。

”的安全防护等级划分方案，同时，依据新的安全防护等级划分方案，提出了标签、读写器、通信链路和后端系统四部分的相应安全技术要求。

随后，标准编制组将《射频识别（RFID）系统通用安全技术要求》（工作组讨论稿）发往复旦大学、上海交通大学RFID与物联网研究所、中国科学院上海高等研究院、上海微系统与信息技术研究所等产品技术研发机构和北京中科国际信息系统有限公司、杭州中瑞思创科技股份有限公司、上海复旦微电子股份有限公司、北京南瑞智芯微电子科技有限公司等相关单位，面向行业广泛征求意见和建议。

结合部分回馈意见，标准编制组于2014年11月中旬修改完成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见稿-1）并发送至全国信息安全标准化技术委员会秘书处。

2014年12月，全国信息安全标准化技术委员会秘书处通知将于本月召开该标准专家评审会，并明确该标准由公安部第三研究所承办并负责组织该标准的制定工作。

标准编制组结合各起草单位后续回馈
意见，参照信息安全标准通用编制范例，修改完成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第二稿)，于2014年12月22日报送全国信息安全标准化技术委员会。

2015年1月，围绕专家评审会上专家意见，标准编制组以内部讨论会方式修改完成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第三稿)。

专家意见主要包括RFID系统的定义、系统范围需清楚且边界的界定清晰、规范性标准引用需严谨并提供可引用的标准建议、RFID系统分类与分级、自身安全要求、标准定位等方面，其中RFID系统定义和RFID系统分类与分级是专家们关注的重点问题。

由于信息安全方面的标准与安防方面的标准存在差异，标准编制组讨论了标准内容、排版顺序和内容的要求性，明确了该标准的后续编制思想。

因此，该标准的征求意见第二稿从原来以安全防范方面的标准内容格式修改为以信息安全方面的标准内容重新排版和内容重新定义。

标准编制组结合编制人员的安防业务和信息安全业务知识侧重不同重新分工按标准编制工作，主要分为负责RFID 系统的标签、读写器和空中接口协议方面的安全要求和负责RFID系统的后台管理和通信链路方面的安全技术要求这两个大方面。

2015年8月17日，为使标准编制更具有科学性、规范性、指导性和行业代表性，标准编制组召开国家标准《信息安全技术射频识别（RFID）系统通用安全技术要求》征求意见稿讨论会，参会单位涉及RFID技术研发机构、测试设备研发机构、行业管理机关、行业产业联盟、行业内具有代表性的该类产品生产企业及该类产品的使用机
关企业。

会议以该征求意见第二稿为参考，从标准架构、内容范围、功能内容和内容可行性等方面进行了充分而热烈的讨论。

同时，各参会的机关企业会后继续以邮件方式提出相关修改意见。

标准编制组通过分析讨论结果和征集的修改意见进一步完善标准征求意见稿，修改形成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第四稿)。

2016年4月，标准编制组以内部讨论会方式修改完成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第四稿)，并编制完成了对应的编制说明。

在标准的术语和定义、安全功能要求进一步做了修改，并着重在安全保证要求上进行了深度讨论分析，各部分对基本级和增强级进一步明确区分。

2016年6月，标准编制组结合RFID系统应用实际和检测试验经验及汇总后的意见对标准再次进行修改完善，形成了《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第五稿），送信息安全标准化委员会各成员单位征求意见并报请WG5工作组讨论。

2016年6月中下旬，标准编制组参加了全国信息安全标准化技术委员会2016年第一次会议周，并于2016年6月15日在WG5工作组会议上汇报了该标准有关编制工作，并针对根据《信息安全技术射频识别（RFID）系统通用安全技术要求》（征求意见第五稿）WG5工作组成员单位提出的意见进行现场讨论。

通过会议讨论，结合专家意见及参与单位意见，形成了《信息安全技术射频识别（RFID）系统
通用安全技术要求》（征求意见第六稿），并对会议前提交的《意见汇总表》和《编制说明》进行综合修改。

1.3.6起草人及其工作
《信息安全技术射频识别（RFID）系统通用安全技术要求》的国家标准编制组由刘彩霞、顾健、张艳、谢芳艺、张振一、范科峰、李琳、龚洁中、姚相振、周睿康、孙伟华、李哲、吴大洲、张志华、王丽娟、刘继顺、李旋、沈亮、何蔚、邵轲等人组成。

其中，刘彩霞全面负责标准编制工作，包括制定工作计划、确定编制内容提纲、调控整体进度、安排参编人员的任务及各文稿的撰写与修改；谢芳艺、王丽娟、李琳、龚洁中主要负责标准的前期调研、现状分析、标准校对审核，范科峰、吴大洲、张艳、孙伟华、沈亮、刘继顺、李旋、何蔚、邵轲主要负责标准各版本的编制、意见汇总的讨论处理等工作；张振一、姚相振、周睿康负责向厂商征求意见与反馈、意见汇总、编制说明的编写等工作；顾健主要负责标准编制过程中的各项技术支持和整体指导。

2 标准主要内容
2.1编制原则
为了使本标准的内容从一开始就与现有国家标准保持一致，符合我国的实际情况，遵从我国有关法律、法规的规定。

编制过程中遵循的具体原则与要求如下：
1）实用性
标准必须是可用的，才有实际意义。

本标准在编写过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关研发生产单位的交流，广泛了解了市场上主流RFID系统、RFID标签和RFID读写器的功能，进行提炼和扩展，使得标准更贴近产品实际情况，保证操作性。

2）先进性
标准是先进经验的总结，同时也是技术的发展趋势。

目前，我国市场上RFID系统种类繁多，要制定出先进的产品标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。

本标准的编写始终遵循这一原则。

3）兼容性
本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。

编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.3标准内容
2.3.1标准结构
本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。

本标准主要结构包括如下内容：
1.范围
2.规范性引用文件
3.术语和定义
4.RFID系统描述
5.RFID系统安全环境
6.安全目的
7.分类分级
8.安全功能要求
9.安全保证要求
2.3.2主要内容
2.3.2.1范围、规范性引用文件、术语和定义和缩略语
该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“通信链路”、“后端系统”、“标签初始化”、“初始化权限控制”等重要概念。

2.3.2.2RFID系统描述
RFID系统是由RFID标签、读写器、通信链路和后端系统和通信链路组成的自动识别系统。

通常，读写器在一个区域发射电磁场能量，射频标签经过这个区域时感应到读写器的信号后发送存储的数据，读写器接收RFID标签发送的信号，解码和校验数据的完整性后，传送给后端系统完成相应的处理工作。

2.3.2.3 RFID系统安全环境和安全目的
RFID系统安全环境包括有关的假设、有关的威胁及对应的有关组织安全策略。

其中有关的假设包括物理访问、人员能力和安全维护；有关的威胁包括事件记录失败、非授权访问、信息泄漏、持续鉴别尝试、漏洞攻击和状态异常；有关组织安全策略包括审计和安全管理。

RFID系统安全目的包括两个方面。

一方面，安全目的旨在对应已标识的威胁或组织安全策略，包括事件记录、身份认证、信息保密、鉴别失败处理、操作系统加固、失效处理、审计和安全管理。

另一封面，针对非技术或程序方法的处理，安全目的包括物理访问、人员能力和安全维护。

2.3.2.4安全技术要求
标准将RFID系统的安全技术要求分为安全功能要求和安全保证要求两个大类。

其中，安全功能要求是对RFID系统应具备的组成部件安全功能提出具体要求，包括标签安全、读写器安全、通信链路（空中接口）安全、通信链路（网络传输）安全及后端系统安全共五个子类安全功能要求；安全保证要求针对RFID系统的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试等。

同时，依据所具备的安全技术要求不同，分为2个等级：基本级和增强级。

RFID系统应至少满足基本级安全技术要求。

文中增强级要求仅列出了除基本级技术要求外的其他技术要求。

增强级应在符合基本级安全技术要求的基础上满足增强级要求。

一、安全功能要求
安全功能要求主要对RFID系统实现的功能进行了要求。

主要包
括标签安全、读写器安全、通信链路（空中接口）安全、通信链路（网络传输）安全及后端系统安全。

其中标签安全包括：基本级包括标识唯一性、灭活、基于口令的访问控制、信息防篡改、防非法指令、具有基于算法的访问控制（仅适用于主动标签）、随机数产生、片内程序更新的完整性保护（仅适用于主动标签），增强级包括完整性服务、前向安全性、具有基于算法的访问控制、敏感信息保护、销毁和管理、基于算法的数据加密（仅适用于主动标签）、鉴别消息的完整性、密钥协商和读写认证等密码服务（仅适用于主动标签）、签名服务（仅适用于主动标签）；
其中读写器安全包括：基本级包括基于口令的访问控制、基于算法的访问控制（仅适用于读取有源标签的读写器）、授权的程序装载与更新、初始化权限的控制、完整性服务、随机数产生、敏感信息保护、销毁和管理，增强级包括基于算法的访问控制、基于算法的数据加密功能、签名服务功能；
其中通信链路（空中接口）安全包括：基本级包括数据完整性、数据源可追溯性，增强级包括数据保密性、数据时效性、抗抵赖；通信链路（网络传输）安全包括：基本级包括数据保密性、数据完整性，增强级包括数据时效性、数据源可追溯性、完整性恢复机制、抗抵赖；
其中后端系统安全包括：基本级包括接入认证、认证失败处理、访问控制、安全策略不可旁路、数据存储保护、状态监测、软件容错、数据备份与恢复、安全管理（标识与鉴别、安全管理功能、区分安全管理角色、远程管理、组件安全）、审计日志（审计数据生成、可理
解格式、有限查阅），增强级包括软件容错、数据备份与恢复、资源控制、可用性、抗攻击、安全报警、报警消息、报警方式。

二、安全保障要求
该部分对产品的开发和使用文档的内容进行了要求，基本级包括开发（安全架构、功能规范、系统关键组件产品设计）、指导性文档（操作用户指南、准备程序）、生命周期支持（配置管理能力、配置管理范围、交付程序）、测试（覆盖、功能测试、独立测试）、脆弱性评定，增强级包括开发（功能规范、实现表示、系统关键组件产品设计）、生命周期支持（配置管理能力、配置管理范围、开发安全、生命周期定义、工具和技术）、测试（覆盖、深度、脆弱性评定）。

2.4编制的背景和意义
目前，越来越多的 RFID产品被广泛应用于零售、物流、仓储、生产制造、自动收费、动物识别、图书馆管理等领域。

尽管与传统的条码识别系统相比，RFID 标签在信息数据存储空间等方面有了质的飞越，但RFID 标签仍存在计算能力有限、存储空间有限、电源供给有限等局限性，这些局限性使得设计者对RFID 的密码机制的选择受到很多限制。

不仅如此，由于标签与阅读器之间的通信通过电磁波进行，过程中没有任何物理或可见接触，这种非接触和无线的通信使RFID 系统很容易受到窃听、欺骗、克隆、数据篡改等各种攻击，导致RFID标签可能被通过重写以篡改信息，也可能被非法读取导致信息泄漏等等。

因此，在RFID的实际应用过程中， RFID标签、读卡器、通信链路和后端软件等各个环节都存在诸多安全隐患。

随着RFID。