据国家密码管理局发布的《国家密码管理局公告(第41号)》显示,由WAPI产业联盟组织、西电捷通公司牵头制定的密码行业标准GM/T 0101—2020《近场通信密码安全协议检测规范》获发布,将于2021年7月1日实施。该标准的发布,将与近场通信(NFC)安全国家标准共同形成我国NFC安全标准体系,对NFC实体鉴别、安全通信、密钥管理以及相应的协议符合性检测等予以规范,为NFC技术应用提供了完整的安全保障。
图:国家密码管理局官网截图
该标准适用于符合GB/T 33746系列标准的NFC设备,用于检测其密码算法及NFC安全协议(NEAU)实现是否符合要求。标准针对符合GB/T 33746系列标准的NFC设备,规范了密码算法与NEAU安全协议检测要求和方法,主要内容包括:密码算法的性能以及工程实现的正确性要求及测试方法,NEAU协议实现的一致性和互操作性要求及测试方法。
近场通信技术作为移动支付的关键支撑技术,应用前景广泛,因涉及金融等重要领域,面临着较其他通信技术更多的安全威胁。标准起草单位从2005年开始研究NFC空口安全技术,提出了两种NFC实体鉴别技术——"使用非对称密码技术的NFC实体鉴别"(NEAU-A)和"使用对称密码技术的NFC实体鉴别"(NEAU-S),定义了NFC实体间对等双向鉴别、密钥协商和确认协议,应对NFC多种应用场景的安全挑战。特点是实现了独立于具体NFC应用的通用空口通信安全,防止近距离空口窃听、设备假冒、数据篡改等攻击,为端到端模式下开展高价值交易提供了鉴别保障,可取得与高端智能卡比拟的高安全等级。
NEAU技术于2016年发布成为国际标准,分别为ISO/IEC 13157-4:2016《信息技术 系统间远程通信和信息交换 第4部分:使用非对称密码技术的NFC-SEC实体鉴别与密钥协商》(NEAU-A技术)和ISO/IEC 13157-5:2016《信息技术 系统间远程通信和信息交换 第5部分:使用对称密码技术的NFC-SEC实体鉴别与密钥协商》(NEAU-S技术)。于2017年被采纳并发布为国家标准,分别为GB/T 33746.1—2017《近场通信(NFC)安全技术要求 第1部分:NFCIP-1安全服务和协议》和GB/T 33746.2—2017《近场通信(NFC)安全技术要求 第2部分:安全机制要求》。
截至目前,WAPI产业联盟组织制定(参与制定)并发布(获发布)的标准达134项,包括:国际标准(ISO/IEC) 14项,欧洲标准3项,国家标准39项,国家军用标准4项,行业标准7项,团体标准67项。