《《信息安全技术射频识别(rfid)系统通用安全技术要求》编制说明》由会员分享,可在线阅读,更多相关《《信息安全技术射频识别(rfid)系统通用安全技术要求》编制说明(20页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术 射频识别(RFID)系统通用安全技术要求编制说明1 工作简况1.1 任务来源2010年,国家标准化管理委员会发出了关于下达2010年国家标准制修订计划的通知(国标委综合201087号),正式下达了2010年度国家标准制修订计划,明确将“射频识别(RFID)系统通用安全技术要求”(项目计划号:20100380-T-469)纳入当年标准制定计划。该标准由全国信息安全标准化技术委员会归口,前期立项申请事宜由工业和信息化部电子工业标准化研究院负责。2014年3月12日,全国信息安全标准化技术委员会秘书处出具书面函,确认公安部第三研究所为主要起草单位。随后的标准起草工作中,由公安部第三研究
2、所实际主导该项标准起草工作,工业和信息化部电子工业标准化研究院同步参与该项标准起草工作。2014年12月26日,全国信息安全标准化技术委员会秘书处在北京应物会议中心召开专家评审会,对公安部第三研究所起草的射频识别(RFID)系统通用安全技术要求(征求意见稿初稿)进行首次评审,明确该标准由公安部第三研究所承办并负责组织该标准的制定工作。2015年8月17日,由公安部第三研究所召集,在上海召开信息安全 射频识别(RFID)系统通用安全技术要求(征求意见稿)标准讨论会,全国信息安全标准化技术委员会秘书处派员参会。1.2 协作单位在承接信息安全技术射频识别(RFID)系统通用安全技术要求标准的起草任务
3、后,公安部第三研究所和工业和信息化部电子工业标准化研究院共同成立了起草工作组,很快拿出了标准工作组讨论稿,并立即与RFID系统技术相关厂商、科研单位进行反复沟通、充分征求意见,得到了多家业内知名厂商和研究机构的积极参与和反馈。依据反馈意见体现的RFID系统安全相关程度,初步选定由中国电子技术标准化研究所、北京中科国际信息系统有限公司、复旦大学、上海交通大学RFID与物联网研究所、中国科学院上海高等研究院作为标准编制协作单位。在标准编制过程中,通过与生产研发企业和RFID应用客户交流,增加了包括江苏出入境检验检疫局机电产品及车辆检测中心、江苏标准化研究院、上海华虹计通智能系统股份有限公司、杭州中
4、瑞思创科技股份有限公司、北京南瑞智芯微电子科技有限公司、工业和信息化部第五研究所等多家参与起草单位。1.3 主要工作过程1.3.1成立起草工作组2014年3月承接信息安全技术 射频识别(RFID)系统通用安全技术要求标准的起草任务后,公安部第三研究所就立即成立了该项标准起草工作组,工业和信息化部电子工业标准化研究院也也参与到该项标准起草工作组中。因此,标准起草工作组由刘彩霞、顾健、张艳、谢芳艺、张振一、范科峰、李琳、龚洁中、姚相振、周睿康、孙伟华、李哲、吴大洲、张志华、王丽娟、刘继顺、李旋、沈亮、何蔚、邵轲等具有丰富的RFID系统安全技术研发经验、RFID系统产品及系统检测经验、RFID系统安
5、全检测经验以及标准编制经验的科研人员共同组成。为确保完成后的标准贴近RFID系统安全实际需求及国内现有RFID系统安全研发、生产水平,起草工作组吸纳了国内相关技术领域用户单位、研发企事业单位及科研院所的部分研发负责人及主要研发人员参与标准的调研与内容研讨。1.3.2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。1.3.3参考资料该标准编制过程中,主要参考了: GB/T 20271-2006 安全技术信息系统通用安全技术要求 GB/T202722006 信息安全技术操作系统安全技术要求 GB/T202732006 信息安全技术数据库管理系统安全技术
6、要求 GB/T 22239-2008信息系统安全等级保护基本要求 GB/T 18336.22008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求 GB/T 18336.32008 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求 GB/T 28925-2012信息技术射频识别 2.45GHz空中接口协议 GB/T 22351-2015信息技术射频识别13.56MHz空中接口协议 GB/T 29261.3-2012信息技术自动识别和数据采集技术词汇第3部分:射频识别 GB/T 28452-2012 信息安全技术应用软件系统通用安全技术要求 GB/T 29768-201
7、3信息技术射频识别 800/900MHz空中接口协议 GM/T 0035.1-2014射频识别系统密码应用技术要求第1部分:密码安全保护框架及安全级别 GM/T 0035.2-2014射频识别系统密码应用技术要求第2部分:电子标签芯片密码应用技术要求 GM/T 0035.3-2014射频识别系统密码应用技术要求第3部分:读写器密码应用技术要求 GM/T 0035.4-2014射频识别系统密码应用技术要求第4部分:电子标签与读写器通信密码应用技术要求 GM/T 0035.5-2014射频识别系统密码应用技术要求第5部分:密钥管理技术要求1.3.4确定编制内容经过标准编制组研究决定,以RFID系统
8、的安全技术的测试要求为理论基础,以GB/T 22239-2008信息系统安全等级保护基本要求和GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求为主要参考依据,完成信息安全技术 射频识别(RFID)系统通用安全技术要求标准的编制工作。图1 射频识别(RFID)系统的安全构成RFID系统是由RFID标签、读写器、通信链路和后端系统和通信链路组成的自动识别系统。通常,读写器在一个区域发射电磁场能量,射频标签经过这个区域时感应到读写器的信号后发送存储的数据,读写器接收RFID标签发送的信号,解码和校验数据的完整性后,传送给后端系统完成相应的处理工作。
9、RFID系统的安全技术要求分为安全功能要求和安全保证要求。由于RFID系统由标签、读写器、通信链路及后端系统等四个部分组成,其中,通信链路又由标签与读写器之间的空中接口和读写器与后端软件之间的网络传输链路两部分组成。RFID系统通用安全功能要求相应分为标签安全、读写器安全、通信链路(空中接口)安全、通信链路(网络传输)安全及后端系统安全共五个子类安全技术要求。依据所具备的安全技术要求不同,标签安全技术要求、读写器安全技术要求、通信链路(空中接口)安全、通信链路(网络通信)安全及后端系统安全技术要求分别划分为2个等级:基本级和增强级。增强级应在符合基本级安全技术要求的基础上满足增强级要求。因此,
10、RFID系统的主要安全机制应涵盖以下方面:1)应提供RFID系统安全环境,对安全环境的相关假设、相关威胁、相关组织安全策略进行描述;2)应提供RFID系统安全目的,旨在对应已标识的威胁或组织安全策略,并对非技术或程序方法进行处理的安全目的;3)应建立RFID系统安全的分类原则和分级原则,设计安全级别,针对不同级别采用不同的安全机制。4)应提供RFID系统安全功能要求的安全机制,根据RFID系统的安全架构,结合RFID系统的工作原理,从基本级要求和增强级要求两个层次展开要求标签安全、读写器安全、通信链路(空中接口)安全、通信链路(网络传输)安全及后端系统安全;5)应提供加密机制,以保护敏感的用户
11、数据和通信;6)应支持对各项操作的细粒度的安全审计,包括识别、记录、存储和分析与安全相关活动有关的信息,从而进行责任追溯,降低安全风险。1.3.5编制工作简要过程在申请信息安全技术 射频识别(RFID)系统通用安全技术要求的国家标准制订任务之前,标准编制组就已经开始了前期调研工作。标准编制组人员首先对所参阅的产品、文档以及标准等资料进行查阅和理解,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。标准编制组在2014年3月前完成了对RFID系统的相关安全技术文档和有关标准的前期基础调研。调研期间,主要对检测中心的RFID读写器、RFID标签和RFID系统的与安全技术有关
12、的检测记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对防卫事业部的RFID读写器、RFID标签和RFID系统的与安全技术有关的产品研发记录、成果以及各产品的技术资料进行筛选、汇总、分析,相关安全对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解。2014年5月,标准编制组完成了射频识别(RFID)系统通用安全技术要求(工作组讨论稿)。工作组讨论稿以GJB 7369-2011.2679 军用射频识别系统安全通用要求为蓝本,借鉴GJB 7369-2011.2679中将射频识别系统划分为标签、读写器、后端系统以及读写器和标签之间的通信链路四部分分别提出安全技术
13、要求的标准架构设计方式,同样将射频识别系统划分为标签、读写器、通信链路和后端系统四部分。GJB 7369-2011.2679中将军用射频识别系统及各个组成部分的安全防护等级划分为A级、B级、C级、D级及E级,其中“A级适用于防护传输、存储和处理公开的信息;B级适用于防护传输、存储和处理内部(不宜公开)的信息;C级适用于防护传输、存储和处理秘密级的信息;D级适用于防护传输、存储和处理机密级的信息;E级适用于防护传输、存储和处理绝密级的信息”。在消化吸收GJB 7369-2011.2679安全防护等级划分方案的基础上,结合民用领域射频识别(RFID)系统应用的安全防护需求特征,起草组在信息安全技术
14、 射频识别(RFID)系统通用安全技术要求选择了“划分为A、B、C三个等级,其中C级为基本要求, A级为最高要求。系统应至少满足C级要求。”的安全防护等级划分方案,同时,依据新的安全防护等级划分方案,提出了标签、读写器、通信链路和后端系统四部分的相应安全技术要求。随后,标准编制组将射频识别(RFID)系统通用安全技术要求(工作组讨论稿)发往复旦大学、上海交通大学RFID与物联网研究所、中国科学院上海高等研究院、上海微系统与信息技术研究所等产品技术研发机构和北京中科国际信息系统有限公司、杭州中瑞思创科技股份有限公司、上海复旦微电子股份有限公司、北京南瑞智芯微电子科技有限公司等相关单位,面向行业广
15、泛征求意见和建议。结合部分回馈意见,标准编制组于2014年11月中旬修改完成了信息安全技术 射频识别(RFID)系统通用安全技术要求(征求意见稿-1)并发送至全国信息安全标准化技术委员会秘书处。2014年12月,全国信息安全标准化技术委员会秘书处通知将于本月召开该标准专家评审会,并明确该标准由公安部第三研究所承办并负责组织该标准的制定工作。标准编制组结合各起草单位后续回馈意见,参照信息安全标准通用编制范例,修改完成了信息安全技术 射频识别(RFID)系统通用安全技术要求(征求意见第二稿),于2014年12月22日报送全国信息安全标准化技术委员会。2015年1月,围绕专家评审会上专家意见,标准编
16、制组以内部讨论会方式修改完成了信息安全技术 射频识别(RFID)系统通用安全技术要求(征求意见第三稿)。专家意见主要包括RFID系统的定义、系统范围需清楚且边界的界定清晰、规范性标准引用需严谨并提供可引用的标准建议、RFID系统分类与分级、自身安全要求、标准定位等方面,其中RFID系统定义和RFID系统分类与分级是专家们关注的重点问题。由于信息安全方面的标准与安防方面的标准存在差异,标准编制组讨论了标准内容、排版顺序和内容的要求性,明确了该标准的后续编制思想。因此,该标准的征求意见第二稿从原来以安全防范方面的标准内容格式修改为以信息安全方面的标准内容重新排版和内容重新定义。标准编制组结合编制人员的安
