ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T 35290—202X 代替 GB/T 35290—2017 信息安全技术 射频识别（RFID）系统安全 技术要求与测试评价方法 Information security technology - Security technical requirements and test evaluation approaches for radio frequency identification systems （送审稿） 2022-12 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX 发布 XXXX - XX - XX 实施 GB/T 35290—202X 目 次 前言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 符号和缩略语 ........................................................................ 2 5 概述 ................................................................................ 3 5.1 系统组成 ........................................................................ 3 5.2 系统安全威胁 .................................................................... 3 6 系统安全分级 ........................................................................ 5 7 安全技术要求 ........................................................................ 6 7.1 7.2 7.3 7.4 7.5 电子标签安全 .................................................................... 6 阅读器/读写器安全 ............................................................... 7 通信链路（空中接口）安全 ........................................................ 9 通信链路（网络传输）安全 ........................................................ 9 管理单元安全 ................................................................... 10 8 测试环境要求 ....................................................................... 12 8.1 8.2 8.3 8.4 一般要求 ....................................................................... 12 测试环境 ....................................................................... 12 测试条件 ....................................................................... 13 通用测试设备 ................................................................... 13 9 测试评价方法 ....................................................................... 14 9.1 9.2 9.3 9.4 9.5 电子标签安全测试评价 ........................................................... 14 阅读器/读写器安全测试评价 ...................................................... 19 通信链路（空中接口）安全测试评价 ............................................... 25 通信链路（网络传输）安全测试评价 ............................................... 29 管理单元安全测试评价 ........................................................... 31 图 1 射频识别系统示意图.................................................................................................................................. 3 表1 射频识别系统的安全威胁........................................................................................................................ 4 I GB/T 35290—202X 前 言 本文件按照 GB/T 1.1－2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替 GB/T 35290－2017《信息安全技术 射频识别（RFID）系统通用安全技术要求》，与 GB/T 35290－2017 相比，除结构调整和编辑性改动外，主要技术变化如下： ——更改了范围（见第 1 章，2017 年版的第 1 章）； ——更改了规范性引用文件（见第 2 章，2017 年版的第 2 章）； ——增加并更改了术语和定义（见第 3 章，2017 年版的 3.1）； ——更改了符号和缩略语（见第 4 章，2017 年版的 3.2）； ——更改了系统组成（见 5.1，2017 年版的 4.1、附录 A）； ——增加了系统安全威胁（见 5.2）； ——更改了系统安全分级（见第 6 章，2017 年版的 4.2）； ——更改了电子标签安全要求的数据校验要求（见 7.1.2.6，2017 年版的 5.1.2.6）； ——增加了阅读器/读写器安全技术要求的标识唯一性、审计日志和审计日志机密性保护要求（见 7.2.1.1、7.2.1.9、7.2.2.4）； ——增加了通信链路（空中接口）安全技术要求的数据完整性要求（见 7.3.2.1）； ——删除了通信链路（网络传输）安全技术要求的完整性恢复机制要求（见 2017 年版的 5.4.2.3）； ——增加了管理单元安全中关于授权的程序装载与更新、恶意代码防范、可信验证、数据备份恢复、 审计日志的基本级要求（见 7.5.1.3、7.5.1.7、7.5.1.8、7.5.1.9、7.5.1.10），以及关于 访问控制、数据完整性、数据保密、可信验证、入侵防范、恶意代码防范、可恢复性、安全审 计的增强级要求（见 7.5.2.1、7.5.2.2、7.5.2.3、7.5.2.4、7.5.2.9、7.5.2.10、7.5.2.11、 7.5.2.12），删除了可理解格式的增强级要求（见 2017 年版的 5.5.2.1.3）； ——增加了测试环境要求（见第 8 章）； ——增加了测试评价方法（见第 9 章）。 本文件由全国信息安全标准化技术委员会(SAC/TC 260) 提出并归口。 本文件主要起草单位：公安部第三研究所、中国电子技术标准化研究院、北京中科国技信息系统有 限公司、腾讯云计算（北京）有限责任公司、珠海复旦创新研究院、上海化工院检测有限公司、长扬科 技（北京）有限公司、西安交大捷普网络科技有限公司、郑州信大捷安信息技术股份有限公司、上海伊 世智能科技有限公司、上海临港电力电子研究有限公司、中国汽车工程研究院股份有限公司、中国网络 安全审查技术与认证中心、广东技安科技有限公司、浙江工业大学。 本文件主要起草人：刘彩霞、顾健、谢芳艺、张艳、刘丹丹、焦志皓、李琳、李哲、戴杰、李建慧、 刘海涛、王俊宇、王思怿、赵华、何建锋、刘为华、刘虹、刘宇澄、刘冲、申永波、何红亮、顾国民。 本文件及其所代替文件的历次版本发布情况为： ——2017 年首次发布为 GB/T 35290－2017； ——本次为第一次修订。 III GB/T 35290—202X 信息安全技术 射频识别（RFID）系统安全技术要求与测试评价方法 1 范围 本文件规定了射频识别系统安全技术要求、测试环境要求及测试评价方法，包括电子标签安全、阅 读器/读写器安全、通信链路（空中接口）安全、通信链路（网络传输）安全及管理单元安全的基本级 要求、增强级要求及其相应测试评价方法。 本文件适用于具有安全技术要求的射频识别系统整体及构成射频识别系统的各类电子标签、阅读器 /读写器、通信链路及管理单元的安全功能设计、开发、使用、测试和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20271 信息安全技术 信息系统通用安全技术要求 GB/T