YDB 085.1-2012
基本信息
标准号: YDB 085.1-2012
中文名称:近场通信(NFC)安全技术要求 第1部分: NFCIP-1 安全服务和协议
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 085.1-2012.Technical specification of NFC security-Part 1: NFCIP-1 security services and protocol.
1范围
YDB 085.1定义了适用于NFCIP- 1的NFC- SEC安全通道服务和共享秘密服务,以及相应服务使用的PDU和协议。
YDB 085.1适用于NFCIP- 1安全服务和协议的要求。
注1:NFC-SEC专为IS0/IEC18092中规定的数据交换协议而设计。
注2:本部分不提出与特定应用相关的安全机制(例如: ISO0/IEC 7816 系列标准中提出的智能卡应用案例需要的安全机制)。NFC-SEC 可作为ISO/IEC 7816 中应用安全机制的补充。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
IS0/IEC 7498-1, 1994:信息技术-开放系统的互联-基础参考模型第1部分:基础模型(Informat ion technology -- Open Systems Interconnection -- Basic Reference Model-- Part 1:The Basic Model )
ISO 7498-2, 1989,信息技术-开放系统的互联-基础参考模型第2部分:安全架构( Information processing systems--Open Systems Interconnection--Basic Reference Model--Part 2: Security Archi tecture)
IS0/IEC 10731, 1994:信息技术-开放系统互连-基本参考模型-开放系统互连(OSI)服务定义的术语( Information technology--Open Systems Interconnection--Basic Reference Model--Conventions for the definition of 0SI services)
1范围
YDB 085.1定义了适用于NFCIP- 1的NFC- SEC安全通道服务和共享秘密服务,以及相应服务使用的PDU和协议。
YDB 085.1适用于NFCIP- 1安全服务和协议的要求。
注1:NFC-SEC专为IS0/IEC18092中规定的数据交换协议而设计。
注2:本部分不提出与特定应用相关的安全机制(例如: ISO0/IEC 7816 系列标准中提出的智能卡应用案例需要的安全机制)。NFC-SEC 可作为ISO/IEC 7816 中应用安全机制的补充。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
IS0/IEC 7498-1, 1994:信息技术-开放系统的互联-基础参考模型第1部分:基础模型(Informat ion technology -- Open Systems Interconnection -- Basic Reference Model-- Part 1:The Basic Model )
ISO 7498-2, 1989,信息技术-开放系统的互联-基础参考模型第2部分:安全架构( Information processing systems--Open Systems Interconnection--Basic Reference Model--Part 2: Security Archi tecture)
IS0/IEC 10731, 1994:信息技术-开放系统互连-基本参考模型-开放系统互连(OSI)服务定义的术语( Information technology--Open Systems Interconnection--Basic Reference Model--Conventions for the definition of 0SI services)
标准图片预览
标准内容
通信标准类技术报告
YDB085.1——2012
近场通信(NFC)安全技术要求第1部分:NFCIP-1安全服务和协议
Technical specification of NFC security -Part 1:NFCIP-1 security services andprotocol
(IS0/IEc13157-l:2010,Information technology—Telecommunicationsand information exchange between systems NFC Security Part l:NFC-SEcNFcIP-lsecurityservicesandprotocol,MoD)2012-03-25印发
中国通信标准化协会
1范围
2规范性引用文件
一致性.·
术语和定义
数字表示形式和符号
5.1数字表示形式
5.2符号
6缩略语.
8.1共享秘密服务(SSE)
8.2安全通道服务(SCH)
9协议机制
密钥协商:
密钥确认。
PDU安全.
终止:
状态和子状态
NFC-SEC-PDU
安全交换协议(SEP)
协议标识符(PID)
NFC-SEC有效载荷
终止(TMN)
错误(ERROR)
12协议规则
12.1协议和服务错误
12.2互通规则
12.3序列完整性
12.4加密处理
附录A(规范性附录)
附录B(规范性附录)
协议机规范
在ISO/IEC
18092:2004
YDB085.1—2012
(NFCIP-1)中使用NFC-SEC的附加要求..·.13YDB085.1—2012
YDB085《近场通信(NFC)安全技术要求》分为两个部分:一第1部分:NFCIP-1安全服务和协议一第2部分:安全机制要求
本部分是YDBXXx的第1部分。
本部分在编制过程中修改采用了ISO/IEC13157-1《信息技术-系统间通信及信息交互-NFC安全第一部分:NFC安全,NFCIP-1安全服务和协议》为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,文需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映本技术报告由中国通信标准化协会提出并归口。本部分起草单位:工业和信息化部电信研究院、中国普天信息产业股份有限公司、西电捷通无线网络通信公司。
本部分主要起草人:张琳琳、孙倩、朱锋、胡亚楠、潘娟。I
iiiKAoNikAca
1范围
近场通信(NFC)安全技术要求
第1部分:NFCIP-1安全服务和协议YDB085.1—2012
本部分定义了适用于NFCIP-1的NFC-SEC安全通道服务和共享秘密服务,以及相应服务使用的PDU和协议。
本部分适用于NFCIP-1安全服务和协议的要求。注1:NFC-SEC专为IS0/IEC18092中规定的数据交换协议而设计。注2:本部分不提出与特定应用相关的安全机制(例如:IS0/IEC7816系列标准中提出的智能卡应用案例需要的安全机制)。NFC-SEC可作为IS0/IEC7816中应用安全机制的补充。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IS0/IEC7498-1,1994:信息技术-开放系统的互联-基础参考模型第1部分:基础模型(Information technology--OpenSystems Interconnection--BasicReferenceModel--Part l:TheBasicModel)
IS07498-2,1989,信息技术-开放系统的互联-基础参考模型第2部分:安全架构(Informatiorprocessing systems --Open Systems Interconnection--Basic Reference Model--Part 2: SecurityArchitecture)
IS0/IEC10731,1994:信息技术-开放系统互连-基本参考模型-.开放系统互连(0SI)服务定义的术语(Information technology--Open Systems Interconnection --Basic Reference Model --Conventions for the definition of osI services)ISo/IEc11770-1,1996:信息技术-安全技术-密钥管理-第1部分:框架(Informationtechnolog)-Securitytechniques--Keymanagement--Partl:Framework)IS0/IEC18092:2004,信息技术-系统间远程通信和信息交换-近场通信-接口和协议NFCIP-1(Information technology Telecommunications and information exchange between systemsNearFieldCommunication—InterfaceandProtocol(NFCIP-1))(Ecma发布为ECMA-340标准)3一致性
一致性实现使用NFC-SEC安全机制要求中定义的安全机制,安全机制使用本部分中指定的一个或多个服务定义的选择PID。
应用NFCIP-1协议的一致性实现还应满足附录B的要求。4术语和定义
-iiKAoNniKAca
YDB085.1—2012
IS0/IEC18092,IS0/IEC7498-1,ISO7498-2,IS0/IEC10731和IS0/IEC11770-1界定的以及下列术语和定义适用于本部分。
连接密钥link key
保证安全通道安全性的密钥。
NFC-SEC用户NFC-SECuser
使用NFC-SEC服务的实体。
接收者recipient
接收ACT-REQ命令的NFC-SEC实体。4.4
安全通道securechanne
安全的NFC-SEC连接。
发送者sender
发送ACT-REQ命令的NFC-SEC实体。4.6
共享秘密sharedsecret
对等NFC-SEC用户间所共享的秘密。数字表示形式和符号
下列数字表示形式和符号均适用于本部分。5.1数字表示形式
一括号内的字母和数字表示十六进制数。比特位设置为0或1。
一二进制数和比特位模式均表示为0和1的序列且最高有效位在左侧。在数据串中,X可表示该位数据在数据串没有被明确设置。在8位字节中最低有效位是比特1,最高有效位是比特8。5.2符号
基本元素的名称,例如:特定字段,均表示为首字母大写。缩略语
iiKANiKAca
下列缩略语适用于本部分。
ACTREQActivationRequestPDU
ACT RES Activation ResponsePDUAttribute Request
ATRREQ
ATR_RES
NFCIP-1
NFC-SEC
VFYREQ
Attribute Response
Data Exchange Protocol Request andData Exchange Protocol ResponseDevice ID
Encrypted Packet PDU
ErrorPDU
least significant bit
Least Significant Byte
Multiple Information link for DataExchange Protocol
most significant bit
Most Significant Byte
MesSaGe code
Node Address
Communication
Interface and Protocol
Near Field Communication-SecurityProtocol Control InformationProtocol Data Unit
激活请求PDU
激活响应PDU
属性请求
属性响应
YDB085.1—2012
数据交换协议请求及数据交换协议响应设备ID
加密包PDU
错误PDU
最低有效位
最低有效字节
数据交换协议的复合信息链接
最高有效位
最高有效字节
信息编码
节点地址
近场通信-接口和协议
近场通信-安全
协议控制信息(见IS0/IEC7498-1)协议数据单元(见IS0/IEC7498-1)Control Information for Transaction交易控制信息
Protocol Identifier
Packet Number Information
Protocol
Initiator
Parameters
Protocol Parameters used by TargetReserved for Future Use
Service Access Point
Secure Channel service
Specification
Language
Service Data Unit
Security
Parameter
Exchange
Sequence Number
SN variable
Shared Secret Service
SerVicE code
Terminate PDU
Description
protocol
Verification Request PDU
协议标识符
包编号信息
初始方使用的协议参数
目标方使用的协议参数
预留位
服务访问点
安全通道服务
规范和说明语言(见ITU-TZ.100)服务数据单元(见IS0/IEC7498-1)安全交换协议参数
序列号
序列号变量
共享秘密服务
服务码
终止PDU
验证请求PDU
HiiKAoNiKAca
YDB085.1—2012
VFYRESVerificationResponsePDU7概要
验证响应PDU
NFC-SEC可使用ISO/TEC7498-1中定义的OSI参考模型表示为图1。NFCSEC用户
NFC-SECSAP
NFC-SECA体
NFC-SECSDU
NFC-SEC-POL
NFCIPLLSA
NFC-SEC连搬
NFC-SEC
NFCIP-1连接
NFCSEC用户
对NFC-SEC实体免费标准bzxz.net
图1NFC-SEC架构
NFC-SEC用户
NFC-SEC
NFCIP-I
NFC-SEC用户通过NFC-SEC服务访问点(NFC-SEC-SAP)来激活和访问NFC-SEC服务。NFC-SEC实体从NFC-SEC用户处获取NFC-SEC-SDU(请求)并且向NFC-SEC用户返回NFC-SEC-SDU(确认)。本部分定义了安全通道服务(SCH)和共享秘密服务(SSE)。为提供NFC-SEC服务,对等NFC-SEC实体根据NFC-SEC协议要求,在NFC-SEC连接上交换NFC-SEC-PDU。对等NFC-SEC实体之间通过NFCIP-1服务访问点(NFCIP-1-SAP)来互相通信,访问NFCIP-1数据服务,发送和接收NFC-SEC-PDU。一个NFC-SEC-PDU包含NFC-SEC协议控制信息(NFC-SEC-PCI)和一个单独的NFC-SEC-SDU。
8服务
本章定义两种服务:SSE和SCH,这两种服务是NFC-SEC提供给NFC-SEC用户的。一且服务被调用,这些服务将通过第9章介绍的协议来通过密码方式保护对等实体间NFC-SEC用户消息的传输,下面介绍的共享秘密的建立应与任何之前或之后建立的共享秘密没有加密相关性。8.1共享秘密服务(SSE)
SSE在两个对等用户之间建立一个共享秘密,用户可自行使用。调用SSE应根据NFC-SEC安全机制部分提供的密钥协商和密钥确认机制建立共享秘密8.2安全通道服务(SCH)
SCH提供一个安全通道。
调用SCH应根据NFC-SEC安全机制部分提供的方法,通过密钥协商和密钥确认机制建立的共享秘密来导出连接密钥,并且应保护之后通道中的双向通信安全。4
iiiKAoNhikAca
9协议机制
NFC-SEC协议包含以下机制。图2展示了协议机制流程。9.1密钥协商
YDB085.1—2012
根据NFC-SEC安全机制部分提供的方法,对等NFC-SEC实体应使用ACTREQ和ACTRES来建立共享秘密。
9.2密钥确认
根据NFC-SEC安全机制部分提供的方法,对等NFC-SEC实体应使用VFY_REQ和VFY_RES来确认共享秘密。
9.3PDU安全
PDU安全只是SCH服务中的一种机制。对等的NFC-SEC实体应根据NFC-SEC安全机制部分提供的方法,使用ENC保护数据交换根据相应的NFC-SEC安全机制中的定义,本机制应包含下列中的一项或几项:一序列完整性,与12.3的要求一致;一机密性;
数据完整性;
原发鉴别。
9.4终止
对等NFC-SEC实体间应使用TMN来终止SSE和SCH。当NFCIP-1协议被释放或者取消,或者NFCIP-1设备电源关闭时,应终止SSE和SCH实例。当转变为空闲(IDLE)状态时,应销毁相应的共享秘密和连接密钥。密机博
FOU堂
图2NFC-SEC服务常规流程
iiiKANiKAca
YDB085.1—2012
状态和子状态
附录A中的NFC-SEC协议机定义了表1中状态和子状态之间的转换。表1状态
空闲(Idle)
选择(Select)
建立(Established)
确认(Confirmed)
NFC-SEC-PDU
NFC-SEC准备通过向NFC-SEC用户或者其对等实体发送请求来启动新服务。NFC-SEC正在等待ACT_RES
请求NFC-SEC服务。“建立”状态包含两个子状态,“建立_发送者”(“Established_Sender”)子状态等待VFY_RES,“建立_接收者”(“Established_Recipient”)子状态等待VFY_REQ。已建立一个NFC_SEC服务。“确认”状态包含两个子状态,在“确认_SSE”(“Confirmed_SSE”)子状态中取出共享秘密,在“确认_SCH”(“Confirmed_SCH”)子状态中,准备开始安全数据传输。
NFC-SEC-PDU应在NFCIP-1DEP(数据交换协议请求及数据交换协议响应)“安全数据”PDU中传送,并把DEP传输数据中的SEP字节作为第0个字节。DEP传输数据应只包含一个NFC-SEC-PDU。NFC-SEC-PDU结构见图3。
图3NFC-SECPDU结构
NFC-SEC有效载荷
表2把NFC-SEC-PDU的字段分为三种类型:必选(m),禁止(p),可选(c)。可选字段将在11.3中进一步说明。
NFC-SEC-PDU
ACTREQ
ACT_RES
VFY_REQ
VFY_RES
安全交换协议(SEP)
NFC-SEC-PDU字段
个字节的安全交换协议(SEP)字段信息如下:NFC-SEC有效载荷
如果服务代码(SVC)为OOb,表示这个PDU是一个SSE交换的一部分:如果SVC为O1b,表示这个PDU是SCH交换的一部分。
消息码(MSG)表示PDU的类型,详见表3。其余的部分为预留位(RFU)-RFU的所有比特位应设为0。接收者应拒绝接收RFU比特位设置为1的PDUmsb
iiiKANiKAca
ACT_REQ
ACT_RES
VFY_REQ
VFY_RES
11.2协议标识符(PID)
图4SEP比特位分配
表3PDU类型和相应的MSG编码
激活请求,请求新的服务。
激活响应,接受服务的请求。
YDB085.1—2012
验证请求,提交验证值来验证发送者的共享秘密。验证响应,提交验证值来验证接受者的共享秘密。加密数据包用于安全数据交换。结束请求,结束一个服务。
提示错误信息。
NFC-SEC安全机制定义了一个单独的8比特PID,PID只包含在ACT_REQ中。11.3NFC-SEC有效载荷
TMNPDU不应包含NFC-SEC有效载荷字段。NFC-SEC有效载荷字段应由一个八位位组(字节)的整数倍组成。NFC-SEC有效载荷字段在ERRORPDU中的使用可详见11.5错误(ERROR)的描述。NFC-SEC有效载荷字段在其他类型PDU中的使用、结构以及编码可参见NFC-SEC安全机制部分。11.4终止(TMN)
如表2中的描述所示,TMNPDU只包含SEP字段11.5错误(ERROR)
ERRORPDU从SEP字段开始,如果包含有效载荷,NFC-SEC有效载荷字段应包含一个以O结尾的八进制串。
协议规则
本章描述NFC-SEC的协议规则。
12.1协议和服务错误
当NFC-SEC实体在不允许的状态下接收到一个PDU,应发送ERRORPDU响应。当NFC-SEC实体接收到一个不支持的或者是在NFC-SEC安全机制中定义为包含无效内容的PDU时,应发送ERRORPDU响应。
当NFC-SEC实体接收或者发送ERRORPDU时,应把协议状态设置为空闲(Idle):当NFC-SEC实体接收或者发送ERRORPDU时,应向NFC-SEC用户发送ERRORSDU。当NFC-SEC实体接收到一个不支持的或者是在NFC-SEC安全机制中定义为包含无效内容的SDU时,应发送ERRORPDU响应且不改变协议状态。YDB085.1—2012
12.2互通规则
一一NFC-SEC实现可设置NFC-SEC-SDU消息长度上限。当发送A.2中的请求SDU时,如超过消息长度上限,则此SDU应被拒绝。
一个NFC-SEC-PDU应只包含一个NFC-SEC-SDU一根据序列完整性章节中的描述,NFC-SEC实体应丢弃任何复制NFC-SEC-PDU。12.3序列完整性
NFC-SEC安全机制提供的序列完整性保护应遵循以下序列完整性机制:每一个NFC-SEC实体应维护其SNV。一SCH建立时,接受者应初始化其SNV,SNV值与NFC-SEC安全机制部分指定的发送者的SNV值相同。
一一NFC-SEC安全机制部分规定了SNV值的范围。发送ENC时,NFC-SEC实体应将SNV值加1,并把它放置在SN字段中。一SN字段应受PDU安全机制的保护,保证任何改动都能监测到。一接收ENC时,NFC-SEC实体应解析SN字段并且与它的SNV值相比较。如果SN==SNV,则PDU应被丢弃而不是提交给NFC-SEC用户,而且状态和SNV应按照A.4.4的要求不做修改。一NFC-SEC实体应每次给SNV值增加1。如果SN等于SNV,则A.4.4中的“PDU内容无效为真;否则为假。
注:如果出现序列完整性错误,NFC-SEC退出SCH并且将情况通知到对等NFC-SEC用户。NFC-SEC用户可自行决定是使用新密钥重新建立SCH还是退出服务。12.4加密处理
除了TMN和ERROR情况之外,发送PDU之前或者接收PDU之后,加密处理的过程在NFC-SEC安全机制部分指定。如果接收进来的PDU加密处理结果为否,则附录A中定义的“PDU内容有效”为假8
附录A
(规范性附录)
协议机规范
YDB085.1—2012
本附录中的NFC-SEC协议机定义了建立和终止SSE服务以及建立,使用和终止SCH服务发送PDU的顺此外,协议机还定义了在每一个状态可发送和接收的PDU。A.1SDL符号
接收的
NFC-SEC-PDU
发出的
NFC-SEC
用户发来的
NFC-SEC
发给用户的
NFC-SEC-
从NFC-SEC对等实体处接收的NFC-SEC-PDU,通过本地NFCIP-1实体来传送
发给NFC-SEC对等实体的NFC-SEC-PDU,提交给本地NFCIP-1实体
从NFC-SEC用户处获取的NFC-SEC-SDU,要求NFC-SEC实体执行一个操作
发给NFC-SEC用户的NFC-SEC-SDU,作为以前请求的响应或者指明一个事件状态。在状态中,协议机等待事件。在构成协议错误的图表中,事件是不可预见的。事件执行的过程中分支条件的判断。9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB085.1——2012
近场通信(NFC)安全技术要求第1部分:NFCIP-1安全服务和协议
Technical specification of NFC security -Part 1:NFCIP-1 security services andprotocol
(IS0/IEc13157-l:2010,Information technology—Telecommunicationsand information exchange between systems NFC Security Part l:NFC-SEcNFcIP-lsecurityservicesandprotocol,MoD)2012-03-25印发
中国通信标准化协会
1范围
2规范性引用文件
一致性.·
术语和定义
数字表示形式和符号
5.1数字表示形式
5.2符号
6缩略语.
8.1共享秘密服务(SSE)
8.2安全通道服务(SCH)
9协议机制
密钥协商:
密钥确认。
PDU安全.
终止:
状态和子状态
NFC-SEC-PDU
安全交换协议(SEP)
协议标识符(PID)
NFC-SEC有效载荷
终止(TMN)
错误(ERROR)
12协议规则
12.1协议和服务错误
12.2互通规则
12.3序列完整性
12.4加密处理
附录A(规范性附录)
附录B(规范性附录)
协议机规范
在ISO/IEC
18092:2004
YDB085.1—2012
(NFCIP-1)中使用NFC-SEC的附加要求..·.13YDB085.1—2012
YDB085《近场通信(NFC)安全技术要求》分为两个部分:一第1部分:NFCIP-1安全服务和协议一第2部分:安全机制要求
本部分是YDBXXx的第1部分。
本部分在编制过程中修改采用了ISO/IEC13157-1《信息技术-系统间通信及信息交互-NFC安全第一部分:NFC安全,NFCIP-1安全服务和协议》为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,文需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映本技术报告由中国通信标准化协会提出并归口。本部分起草单位:工业和信息化部电信研究院、中国普天信息产业股份有限公司、西电捷通无线网络通信公司。
本部分主要起草人:张琳琳、孙倩、朱锋、胡亚楠、潘娟。I
iiiKAoNikAca
1范围
近场通信(NFC)安全技术要求
第1部分:NFCIP-1安全服务和协议YDB085.1—2012
本部分定义了适用于NFCIP-1的NFC-SEC安全通道服务和共享秘密服务,以及相应服务使用的PDU和协议。
本部分适用于NFCIP-1安全服务和协议的要求。注1:NFC-SEC专为IS0/IEC18092中规定的数据交换协议而设计。注2:本部分不提出与特定应用相关的安全机制(例如:IS0/IEC7816系列标准中提出的智能卡应用案例需要的安全机制)。NFC-SEC可作为IS0/IEC7816中应用安全机制的补充。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IS0/IEC7498-1,1994:信息技术-开放系统的互联-基础参考模型第1部分:基础模型(Information technology--OpenSystems Interconnection--BasicReferenceModel--Part l:TheBasicModel)
IS07498-2,1989,信息技术-开放系统的互联-基础参考模型第2部分:安全架构(Informatiorprocessing systems --Open Systems Interconnection--Basic Reference Model--Part 2: SecurityArchitecture)
IS0/IEC10731,1994:信息技术-开放系统互连-基本参考模型-.开放系统互连(0SI)服务定义的术语(Information technology--Open Systems Interconnection --Basic Reference Model --Conventions for the definition of osI services)ISo/IEc11770-1,1996:信息技术-安全技术-密钥管理-第1部分:框架(Informationtechnolog)-Securitytechniques--Keymanagement--Partl:Framework)IS0/IEC18092:2004,信息技术-系统间远程通信和信息交换-近场通信-接口和协议NFCIP-1(Information technology Telecommunications and information exchange between systemsNearFieldCommunication—InterfaceandProtocol(NFCIP-1))(Ecma发布为ECMA-340标准)3一致性
一致性实现使用NFC-SEC安全机制要求中定义的安全机制,安全机制使用本部分中指定的一个或多个服务定义的选择PID。
应用NFCIP-1协议的一致性实现还应满足附录B的要求。4术语和定义
-iiKAoNniKAca
YDB085.1—2012
IS0/IEC18092,IS0/IEC7498-1,ISO7498-2,IS0/IEC10731和IS0/IEC11770-1界定的以及下列术语和定义适用于本部分。
连接密钥link key
保证安全通道安全性的密钥。
NFC-SEC用户NFC-SECuser
使用NFC-SEC服务的实体。
接收者recipient
接收ACT-REQ命令的NFC-SEC实体。4.4
安全通道securechanne
安全的NFC-SEC连接。
发送者sender
发送ACT-REQ命令的NFC-SEC实体。4.6
共享秘密sharedsecret
对等NFC-SEC用户间所共享的秘密。数字表示形式和符号
下列数字表示形式和符号均适用于本部分。5.1数字表示形式
一括号内的字母和数字表示十六进制数。比特位设置为0或1。
一二进制数和比特位模式均表示为0和1的序列且最高有效位在左侧。在数据串中,X可表示该位数据在数据串没有被明确设置。在8位字节中最低有效位是比特1,最高有效位是比特8。5.2符号
基本元素的名称,例如:特定字段,均表示为首字母大写。缩略语
iiKANiKAca
下列缩略语适用于本部分。
ACTREQActivationRequestPDU
ACT RES Activation ResponsePDUAttribute Request
ATRREQ
ATR_RES
NFCIP-1
NFC-SEC
VFYREQ
Attribute Response
Data Exchange Protocol Request andData Exchange Protocol ResponseDevice ID
Encrypted Packet PDU
ErrorPDU
least significant bit
Least Significant Byte
Multiple Information link for DataExchange Protocol
most significant bit
Most Significant Byte
MesSaGe code
Node Address
Communication
Interface and Protocol
Near Field Communication-SecurityProtocol Control InformationProtocol Data Unit
激活请求PDU
激活响应PDU
属性请求
属性响应
YDB085.1—2012
数据交换协议请求及数据交换协议响应设备ID
加密包PDU
错误PDU
最低有效位
最低有效字节
数据交换协议的复合信息链接
最高有效位
最高有效字节
信息编码
节点地址
近场通信-接口和协议
近场通信-安全
协议控制信息(见IS0/IEC7498-1)协议数据单元(见IS0/IEC7498-1)Control Information for Transaction交易控制信息
Protocol Identifier
Packet Number Information
Protocol
Initiator
Parameters
Protocol Parameters used by TargetReserved for Future Use
Service Access Point
Secure Channel service
Specification
Language
Service Data Unit
Security
Parameter
Exchange
Sequence Number
SN variable
Shared Secret Service
SerVicE code
Terminate PDU
Description
protocol
Verification Request PDU
协议标识符
包编号信息
初始方使用的协议参数
目标方使用的协议参数
预留位
服务访问点
安全通道服务
规范和说明语言(见ITU-TZ.100)服务数据单元(见IS0/IEC7498-1)安全交换协议参数
序列号
序列号变量
共享秘密服务
服务码
终止PDU
验证请求PDU
HiiKAoNiKAca
YDB085.1—2012
VFYRESVerificationResponsePDU7概要
验证响应PDU
NFC-SEC可使用ISO/TEC7498-1中定义的OSI参考模型表示为图1。NFCSEC用户
NFC-SECSAP
NFC-SECA体
NFC-SECSDU
NFC-SEC-POL
NFCIPLLSA
NFC-SEC连搬
NFC-SEC
NFCIP-1连接
NFCSEC用户
对NFC-SEC实体免费标准bzxz.net
图1NFC-SEC架构
NFC-SEC用户
NFC-SEC
NFCIP-I
NFC-SEC用户通过NFC-SEC服务访问点(NFC-SEC-SAP)来激活和访问NFC-SEC服务。NFC-SEC实体从NFC-SEC用户处获取NFC-SEC-SDU(请求)并且向NFC-SEC用户返回NFC-SEC-SDU(确认)。本部分定义了安全通道服务(SCH)和共享秘密服务(SSE)。为提供NFC-SEC服务,对等NFC-SEC实体根据NFC-SEC协议要求,在NFC-SEC连接上交换NFC-SEC-PDU。对等NFC-SEC实体之间通过NFCIP-1服务访问点(NFCIP-1-SAP)来互相通信,访问NFCIP-1数据服务,发送和接收NFC-SEC-PDU。一个NFC-SEC-PDU包含NFC-SEC协议控制信息(NFC-SEC-PCI)和一个单独的NFC-SEC-SDU。
8服务
本章定义两种服务:SSE和SCH,这两种服务是NFC-SEC提供给NFC-SEC用户的。一且服务被调用,这些服务将通过第9章介绍的协议来通过密码方式保护对等实体间NFC-SEC用户消息的传输,下面介绍的共享秘密的建立应与任何之前或之后建立的共享秘密没有加密相关性。8.1共享秘密服务(SSE)
SSE在两个对等用户之间建立一个共享秘密,用户可自行使用。调用SSE应根据NFC-SEC安全机制部分提供的密钥协商和密钥确认机制建立共享秘密8.2安全通道服务(SCH)
SCH提供一个安全通道。
调用SCH应根据NFC-SEC安全机制部分提供的方法,通过密钥协商和密钥确认机制建立的共享秘密来导出连接密钥,并且应保护之后通道中的双向通信安全。4
iiiKAoNhikAca
9协议机制
NFC-SEC协议包含以下机制。图2展示了协议机制流程。9.1密钥协商
YDB085.1—2012
根据NFC-SEC安全机制部分提供的方法,对等NFC-SEC实体应使用ACTREQ和ACTRES来建立共享秘密。
9.2密钥确认
根据NFC-SEC安全机制部分提供的方法,对等NFC-SEC实体应使用VFY_REQ和VFY_RES来确认共享秘密。
9.3PDU安全
PDU安全只是SCH服务中的一种机制。对等的NFC-SEC实体应根据NFC-SEC安全机制部分提供的方法,使用ENC保护数据交换根据相应的NFC-SEC安全机制中的定义,本机制应包含下列中的一项或几项:一序列完整性,与12.3的要求一致;一机密性;
数据完整性;
原发鉴别。
9.4终止
对等NFC-SEC实体间应使用TMN来终止SSE和SCH。当NFCIP-1协议被释放或者取消,或者NFCIP-1设备电源关闭时,应终止SSE和SCH实例。当转变为空闲(IDLE)状态时,应销毁相应的共享秘密和连接密钥。密机博
FOU堂
图2NFC-SEC服务常规流程
iiiKANiKAca
YDB085.1—2012
状态和子状态
附录A中的NFC-SEC协议机定义了表1中状态和子状态之间的转换。表1状态
空闲(Idle)
选择(Select)
建立(Established)
确认(Confirmed)
NFC-SEC-PDU
NFC-SEC准备通过向NFC-SEC用户或者其对等实体发送请求来启动新服务。NFC-SEC正在等待ACT_RES
请求NFC-SEC服务。“建立”状态包含两个子状态,“建立_发送者”(“Established_Sender”)子状态等待VFY_RES,“建立_接收者”(“Established_Recipient”)子状态等待VFY_REQ。已建立一个NFC_SEC服务。“确认”状态包含两个子状态,在“确认_SSE”(“Confirmed_SSE”)子状态中取出共享秘密,在“确认_SCH”(“Confirmed_SCH”)子状态中,准备开始安全数据传输。
NFC-SEC-PDU应在NFCIP-1DEP(数据交换协议请求及数据交换协议响应)“安全数据”PDU中传送,并把DEP传输数据中的SEP字节作为第0个字节。DEP传输数据应只包含一个NFC-SEC-PDU。NFC-SEC-PDU结构见图3。
图3NFC-SECPDU结构
NFC-SEC有效载荷
表2把NFC-SEC-PDU的字段分为三种类型:必选(m),禁止(p),可选(c)。可选字段将在11.3中进一步说明。
NFC-SEC-PDU
ACTREQ
ACT_RES
VFY_REQ
VFY_RES
安全交换协议(SEP)
NFC-SEC-PDU字段
个字节的安全交换协议(SEP)字段信息如下:NFC-SEC有效载荷
如果服务代码(SVC)为OOb,表示这个PDU是一个SSE交换的一部分:如果SVC为O1b,表示这个PDU是SCH交换的一部分。
消息码(MSG)表示PDU的类型,详见表3。其余的部分为预留位(RFU)-RFU的所有比特位应设为0。接收者应拒绝接收RFU比特位设置为1的PDUmsb
iiiKANiKAca
ACT_REQ
ACT_RES
VFY_REQ
VFY_RES
11.2协议标识符(PID)
图4SEP比特位分配
表3PDU类型和相应的MSG编码
激活请求,请求新的服务。
激活响应,接受服务的请求。
YDB085.1—2012
验证请求,提交验证值来验证发送者的共享秘密。验证响应,提交验证值来验证接受者的共享秘密。加密数据包用于安全数据交换。结束请求,结束一个服务。
提示错误信息。
NFC-SEC安全机制定义了一个单独的8比特PID,PID只包含在ACT_REQ中。11.3NFC-SEC有效载荷
TMNPDU不应包含NFC-SEC有效载荷字段。NFC-SEC有效载荷字段应由一个八位位组(字节)的整数倍组成。NFC-SEC有效载荷字段在ERRORPDU中的使用可详见11.5错误(ERROR)的描述。NFC-SEC有效载荷字段在其他类型PDU中的使用、结构以及编码可参见NFC-SEC安全机制部分。11.4终止(TMN)
如表2中的描述所示,TMNPDU只包含SEP字段11.5错误(ERROR)
ERRORPDU从SEP字段开始,如果包含有效载荷,NFC-SEC有效载荷字段应包含一个以O结尾的八进制串。
协议规则
本章描述NFC-SEC的协议规则。
12.1协议和服务错误
当NFC-SEC实体在不允许的状态下接收到一个PDU,应发送ERRORPDU响应。当NFC-SEC实体接收到一个不支持的或者是在NFC-SEC安全机制中定义为包含无效内容的PDU时,应发送ERRORPDU响应。
当NFC-SEC实体接收或者发送ERRORPDU时,应把协议状态设置为空闲(Idle):当NFC-SEC实体接收或者发送ERRORPDU时,应向NFC-SEC用户发送ERRORSDU。当NFC-SEC实体接收到一个不支持的或者是在NFC-SEC安全机制中定义为包含无效内容的SDU时,应发送ERRORPDU响应且不改变协议状态。YDB085.1—2012
12.2互通规则
一一NFC-SEC实现可设置NFC-SEC-SDU消息长度上限。当发送A.2中的请求SDU时,如超过消息长度上限,则此SDU应被拒绝。
一个NFC-SEC-PDU应只包含一个NFC-SEC-SDU一根据序列完整性章节中的描述,NFC-SEC实体应丢弃任何复制NFC-SEC-PDU。12.3序列完整性
NFC-SEC安全机制提供的序列完整性保护应遵循以下序列完整性机制:每一个NFC-SEC实体应维护其SNV。一SCH建立时,接受者应初始化其SNV,SNV值与NFC-SEC安全机制部分指定的发送者的SNV值相同。
一一NFC-SEC安全机制部分规定了SNV值的范围。发送ENC时,NFC-SEC实体应将SNV值加1,并把它放置在SN字段中。一SN字段应受PDU安全机制的保护,保证任何改动都能监测到。一接收ENC时,NFC-SEC实体应解析SN字段并且与它的SNV值相比较。如果SN==SNV,则PDU应被丢弃而不是提交给NFC-SEC用户,而且状态和SNV应按照A.4.4的要求不做修改。一NFC-SEC实体应每次给SNV值增加1。如果SN等于SNV,则A.4.4中的“PDU内容无效为真;否则为假。
注:如果出现序列完整性错误,NFC-SEC退出SCH并且将情况通知到对等NFC-SEC用户。NFC-SEC用户可自行决定是使用新密钥重新建立SCH还是退出服务。12.4加密处理
除了TMN和ERROR情况之外,发送PDU之前或者接收PDU之后,加密处理的过程在NFC-SEC安全机制部分指定。如果接收进来的PDU加密处理结果为否,则附录A中定义的“PDU内容有效”为假8
附录A
(规范性附录)
协议机规范
YDB085.1—2012
本附录中的NFC-SEC协议机定义了建立和终止SSE服务以及建立,使用和终止SCH服务发送PDU的顺此外,协议机还定义了在每一个状态可发送和接收的PDU。A.1SDL符号
接收的
NFC-SEC-PDU
发出的
NFC-SEC
用户发来的
NFC-SEC
发给用户的
NFC-SEC-
从NFC-SEC对等实体处接收的NFC-SEC-PDU,通过本地NFCIP-1实体来传送
发给NFC-SEC对等实体的NFC-SEC-PDU,提交给本地NFCIP-1实体
从NFC-SEC用户处获取的NFC-SEC-SDU,要求NFC-SEC实体执行一个操作
发给NFC-SEC用户的NFC-SEC-SDU,作为以前请求的响应或者指明一个事件状态。在状态中,协议机等待事件。在构成协议错误的图表中,事件是不可预见的。事件执行的过程中分支条件的判断。9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。