6.2　讀寫器密碼安全要素

6.2.1　保密性

6.2.1.1　存儲信息的保密性

讀寫器對存儲在讀寫器內的敏感信息應采用密碼算法進行加密保護，使得讀寫器的任何部分損壞或失效，以及非授權訪問等都不會導致敏感信息的泄露，以保證讀寫器數據存儲的保密性。

存儲信息的保密性保護應采用密碼算法加密完成。

6.2.1.2　傳輸信息的保密性

讀寫器與電子標簽通信時，讀寫器對傳輸的敏感信息應采用密碼算法進行加密保護，保證該傳輸數據在被截獲后無法得到明文數據，達到傳輸信息的保密性要求。

傳輸信息保密性保護須通過對傳輸的明文數據進行加密完成，采用流加密或分組加密的方式進行。

傳輸信息保密性的實現過程見8.1。

6.2.2　完整性

6.2.2.1　存儲信息的完整性

讀寫器采用密碼算法對存儲在讀寫器內的敏感信息應進行校驗計算，以發現數據被篡改、刪除和插入等情況，確保存儲信息的完整性。

存儲信息完整性保護應采用密碼算法，通過對存儲的數據加校驗碼的方式進行。具體方式是在存儲數據的同時存儲該數據相關的校驗碼。

采用對稱密碼算法或密碼雜湊函數計算檢驗碼時，計算過程見8.2。

采用非對稱密碼算法產生的數字簽名可用于數據完整性校驗。

6.2.2.2　傳輸信息的完整性

讀寫器與電子標簽通信時，讀寫器應采用密碼算法對傳輸的信息進行校驗計算，以發現數據被篡改、刪除和插入等情況，達到傳輸過程中的信息完整性要求。

傳輸信息的完整性實現方式見8.2。

6.2.3　抗抵賴

6.2.3.1　抗電子標簽原發抵賴

抗電子標簽原發抵賴是指標簽信息的原發者（讀寫器或第三方）應采用密碼算法對寫入電子標簽內的數據進行數字簽名操作，確保產生該數字簽名的原發者不能成功地否認曾經生成過該數據。

當讀寫器作為信息的原發者時，讀寫器應采用密碼算法對電子標簽數據（含電子標簽的身份特征）產生數字簽名，將簽名后的數據傳輸到電子標簽芯片，電子標簽存儲該簽名數據，以支持電子標簽具有抗電子標簽原發抵賴的功能。

當讀寫器作為電子標簽簽名信息的驗證主體時，讀寫器應能夠驗證電子標簽存儲的簽名數據，以鑒別簽名信息原發者的真實性。

6.2.3.2　抗電子標簽抵賴

讀寫器具有抗電子標簽抵賴功能時，讀寫器應能夠對電子標簽產生的數字簽名進行驗證，達到抗電子標簽抵賴的要求。

6.2.3.3　抗讀寫器抵賴

支持抗讀寫器抵賴時，讀寫器應具有產生數字簽名功能。

6.2.4　身份鑒別

6.2.4.1　唯一標識符鑒別

唯一標識符鑒別采用與電子標簽唯一標識符相關的驗證碼鑒別方式。

唯一標識符鑒別的實現方式見8.3.1。

6.2.4.2　讀寫器對電子標簽的挑戰響應身份鑒別

讀寫器對電子標簽的挑戰響應鑒別的實現方式見8.3.2.2。

讀寫器應設定不成功鑒別的嘗試次數，當達到或超過規定的次數時，讀寫器應停止再次嘗試挑戰響應鑒別操作。

6.2.4.3　電子標簽對讀寫器的挑戰響應身份鑒別

電子標簽對讀寫器的挑戰響應鑒別的實現方式見8.3.2.1。

6.2.5　訪問控制

讀寫器數據訪問控制應采用密碼算法對敏感數據讀寫、密鑰存儲、密鑰更新等操作設置控制權限。對不同的權限應設置不同的密鑰進行訪問控制，阻止非授權的訪問。

對讀寫器的訪問只能按照讀寫器發行時所設置的訪問控制權限對讀寫器進行相關操作。對讀寫器進行訪問的主體可能是中間件、后臺信息系統等。

6.2.6　安全審計

讀寫器對涉及應用系統安全的數據及相關操作（潛在的安全侵害）應進行記錄并存儲，記錄內容至少包括使用主體、使用時間、執行的操作等，用于應用系統審計所記錄數據和操作的安全性。

對于敏感數據的記錄，如果不能在SAM內存儲，需要由SAM產生信息校驗碼進行完整性保護后存儲。

6.2.7　密碼配置

6.2.7.1　密碼算法

讀寫器的密碼算法配用要求見GB/T XXXXX.1-XXXX。

6.2.7.2　密鑰管理

讀寫器密鑰管理涉及密鑰注入、密鑰存儲、密鑰分散和密鑰使用等，密鑰應存儲在讀寫器安全存取模塊（SAM）內。相關要求見GB/T XXXXX.3-XXXX。

6.2.8　其它安全措施

讀寫器內部各處理模塊之間（如SAM和處理器模塊之間）傳輸敏感數據時，應采取措施保證敏感數據的安全，如打開讀寫器外殼時銷毀密鑰的防護措施，防止發生敏感數據泄漏、篡改或丟失。

在滿足本標準規定的讀寫器密碼安全技術要求之外，讀寫器也應根據系統安全需求決定是否支持與中間件或后臺信息系統之間的通信安全和安全認證等安全機制，比如具有傳輸信息的保密性和完整性、挑戰響應身份鑒別、抗抵賴、訪問控制、安全審計等安全功能。