GBT385632020基于移动互联网的防伪溯源验证通用技术条件

书书书犐犆犛３５．０４０犃９０!#$%&’’()*犌犅／犜３８５６３—２０２０!#$%&’()*+,-./01234犌犲狀犲狉犪犾狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狋狉犪犮犲犪犫犻犾犻狋狔狏犲狉犻犳犻犮犪狋犻狅狀犫犪狊犲犱狅狀犿狅犫犻犾犲犻狀狋犲狉狀犲狋２０２００３０６56２０２０１００１78’(+,-./012’()*3/045656目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　缩略语２……………………………………………………………………………………………………５　要求２………………………………………………………………………………………………………　５．１　验证终端２……………………………………………………………………………………………　５．２　验证接口３……………………………………………………………………………………………　５．３　符合性３………………………………………………………………………………………………　５．４　交互４…………………………………………………………………………………………………　５．５　安全４…………………………………………………………………………………………………　５．６　性能５…………………………………………………………………………………………………　５．７　防伪验证安全级别５…………………………………………………………………………………６　试验方法５…………………………………………………………………………………………………　６．１　试验条件５……………………………………………………………………………………………　６．２　验证接口５……………………………………………………………………………………………　６．３　符合性６………………………………………………………………………………………………　６．４　交互６…………………………………………………………………………………………………　６．５　安全检验６……………………………………………………………………………………………　６．６　性能检验７……………………………………………………………………………………………　６．７　防伪验证安全级别７…………………………………………………………………………………附录Ａ（资料性附录）　接口对接实现流程８………………………………………………………………附录Ｂ（资料性附录）　验证接口反馈数据示例９…………………………………………………………附录Ｃ（资料性附录）　必要展示内容字段及说明１１………………………………………………………附录Ｄ（资料性附录）　扩展展示内容字段及说明１２………………………………………………………附录Ｅ（资料性附录）　区块链实施要求１３…………………………………………………………………参考文献１５……………………………………………………………………………………………………犌犅／犜３８５６３—２０２０前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国防伪标准化技术委员会（ＳＡＣ／ＴＣ２１８）提出并归口。本标准起草单位：中国防伪行业协会、中防验证（北京）网络服务平台股份有限公司、北京舜天龙兴信息技术有限公司、深圳链云信息科技有限公司、北京百度网讯科技有限公司、上海市防伪技术产品测评中心、四川万识科技有限公司、中防智慧（北京）科技有限公司、湖南惠农科技有限公司。本标准主要起草人：隆亮、陈锡蓉、刘俊宏、李龙杰、徐家军、荆博、罗隽、耿晓桦、张晋豪、孙冰、谢浩、申斌。Ⅰ犌犅／犜３８５６３—２０２０基于移动互联网的防伪溯源验证通用技术条件１　范围本标准规定了移动互联网环境下防伪溯源验证的验证终端、验证接口、符合性、交互、安全、性能和防伪验证安全级别的要求以及试验方法。本标准适用于基于移动互联网的防伪溯源验证，也适用于对防伪溯源验证的测试评价。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ１９４２５—２００３　防伪技术产品通用技术条件ＧＢ／Ｔ２２２５８—２００８　防伪标识通用技术条件ＧＢ／Ｔ３４０６２—２０１７　防伪溯源编码技术条件ＧＢ／Ｔ３４９７５—２０１７　信息安全技术　移动智能终端应用软件安全技术要求和测试评价方法ＧＢ／Ｔ３７０２５—２０１８　信息安全技术　物联网数据传输安全技术要求ＩＳＯ／ＩＥＣ１５６９３２　识别卡　非接触集成电路卡　邻近卡　第２部分：空中接口和初始化（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎｃａｒｄｓ—Ｃｏｎｔａｃｔｌｅｓｓｉｎｔｅｇｒａｔｅｄｃｉｒｃｕｉｔｃａｒｄｓ—Ｖｉｃｉｎｉｔｙｃａｒｄｓ—Ｐａｒｔ２：Ａｉｒｉｎｔｅｒｆａｃｅａｎｄｉｎｉｔｉａｌｉｚａｔｉｏｎ）ＩＳＯ／ＩＥＣ２４７９１５　信息技术　项目管理用射频识别（ＲＦＩＤ）　软件系统基础设施　第５部分：设备接口［Ｉｎｆｏｒｍａｔｉｏｎｔｅｃｈｎｏｌｏｇｙ—Ｒａｄｉｏｆｒｅｑｕｅｎｃｙｉｄｅｎｔｉｆｉｃａｔｉｏｎ（ＲＦＩＤ）ｆｏｒｉｔｅｍｍａｎａｇｅｍｅｎｔ—Ｓｏｆｔｗａｒｅｓｙｓｔｅｍｉｎｆｒａｓｔｒｕｃｔｕｒｅ—Ｐａｒｔ５：Ｄｅｖｉｃｅｉｎｔｅｒｆａｃｅ］３　术语和定义下列术语和定义适用于本文件。３．１　移动互联网　犿狅犫犻犾犲犻狀狋犲狉狀犲狋采用移动无线通信方式实现的业务和服务。３．２　防伪验证　犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狏犲狉犻犳犻犮犪狋犻狅狀对防伪识别特征或防伪溯源编码进行识别的过程。３．３　基于移动互联网的防伪验证　犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狏犲狉犻犳犻犮犪狋犻狅狀犫犪狊犲犱狅狀犿狅犫犻犾犲犻狀狋犲狉狀犲狋采用移动智能终端，通过移动无线通信方式进行防伪验证的过程。３．４　移动智能终端　狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。１犌犅／犜３８５６３—２０２０［ＧＢ／Ｔ３４９７５—２０１７，定义３．１］３．５验证终端　狏犲狉犻犳犻犮犪狋犻狅狀狋犲狉犿犻狀犪犾用于进行防伪溯源验证的移动智能终端。　　注：包括智能手机、笔记本电脑、平板电脑、移动数据终端（ＰＤＡ）和专用移动防伪验证终端等。３．６防伪溯源　犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狋狉犪犮犲犪犫犻犾犻狋狔采用防伪技术或措施，实现标的物与标识信息一一绑定，具有防复制、防转移和防篡改能力的溯源。３．７多媒体数字信息核验防伪系统　犮狅犿狆狌狋犲狉狊犮犻犲狀犮犲犫犪狊犲犱犿狌犾狋犻犮犺犪狀狀犲犾犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狆狉狅犱狌犮狋一种综合运用编码技术、数字加密技术、网络通信技术、计算机技术的识别验证防伪溯源编码的信息系统。［ＧＢ／Ｔ３４０６２—２０１７，定义３．１．３］３．８防伪溯源编码　犪狀狋犻犮狅狌狀狋犲狉犳犲犻狋犻狀犵狋狉犪犮犲犪犫犻犾犻狋狔犮狅犱犲满足唯一性和随机性检测要求，按照一定规则编制并能够用于标识与唯一识别物品（产品、票证等）对象，以实现防伪溯源的数字和字符编码。［ＧＢ／Ｔ３４０６２—２０１７，定义３．１．１］３．９二维码　狋狑狅犱犻犿犲狀狊犻狅狀犮狅犱犲在二维方向上都表示信息的条码符号。［ＧＢ／Ｔ３３９９３—２０１７，定义３．１］４　缩略语下列缩略语适用于本文件。ＡＰＰ：应用程序（Ａｐｐｌｉｃａｔｉｏｎ）ＨＴＴＰＳ：超文本传输安全协议（ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌＳｅｃｕｒｅ）ＩＤ：标识（Ｉｄｅｎｔｉｆｉｅｒ）ＪＳＯＮ：对象简谱（ＪａｖａＳｃｒｉｐｔＯｂｊｅｃｔＮｏｔａｔｉｏｎ）ＮＦＣ：近场通信（ＮｅａｒＦｉｅｌｄＣｏｍｍｕｎｉｃａｔｉｏｎ）ＲＡＳ：带状态位的防伪射频识别技术（ＲＦＩＤｆｏｒＡｎｔｉｆａｋｅｗｉｔｈＳｔａｔｕｓ）ＲＦＩＤ：射频识别技术（ＲａｄｉｏＦｒｅｑｕｅｎｃｙＩｄｅｎｔｉｆｉｃａｔｉｏｎ）ＳＤＫ：软件开发工具包（ＳｏｆｔｗａｒｅＤｅｖｅｌｏｐｍｅｎｔＫｉｔ）ＳＳＬ：安全套接层（ＳｅｃｕｒｅＳｏｃｋｅｔｓＬａｙｅｒ）ＵＩＤ：唯一标识（ＵｎｉｑｕｅＩｄｅｎｔｉｆｉｅｒｓ）５　要求５．１　验证终端验证终端应符合表１要求。２犌犅／犜３８５６３—２０２０表１　验证终端要求防伪验证方式要　求摄像头识别具有摄像头功能，具备相应识别软件（包括扫码识别、图像识别、数字水印识别、视频识别等）运行系统环境，支持进行互联网查验，可实现防伪溯源码解码或图像解码功能ＮＦＣ通信识别具有ＮＦＣ功能，具备相应识别软件（包括ＲＦＩＤ识别、ＮＦＣ识别等功能）运行系统环境，支持进行互联网查验５．２　验证接口５．２．１　通用要求防伪溯源验证服务应设置标准对外防伪验证和产品信息溯源接口，与公共平台实现对接，其接口应符合ＧＢ／Ｔ３４０６２—２０１７中附录Ｄ的要求并参考ＧＢ／Ｔ３４０６２—２０１７的附录Ｅ。接口对接实现流程参见附录Ａ。５．２．２　接口协议验证接口应同时满足如下要求：ａ）　字符统一采用ＵＴＦ８字符编码；ｂ）　采用ＧＥＴ／ＰＯＳＴ方法提交；ｃ）　签名算法采用ＭＤ５／ＨＭＡＣＳＨＡ２５６或相关国家标准签名算法，请求和返回的数据都应带上签名信息。５．２．３　验证接口性能验证接口性能应符合表２要求。表２　验证接口性能项目要求响应时间响应时间≤１０ｓ识别准确率无污损图片的识别成功率≥９９％接口数据格式提供接口验证的，需要返回ＪＳＯＮ格式的数据，其反馈数据示例参见附录Ｂ图片或视频支持格式图片验证应支持ｊｐｇ和ｐｎｇ等多种图片格式的验证；视频验证应提供支持多种视频格式验证的接口５．３　符合性５．３．１　数码防伪数码的编码及读取应符合ＧＢ／Ｔ３４０６２—２０１７的要求。５．３．２　二维码二维码的编码和读取应符合ＧＢ／Ｔ３４０６２—２０１７的要求。３犌犅／犜３８５６３—２０２０５．３．３　犚犉犐犇ＲＦＩＤ的编码和读取应符合ＧＢ／Ｔ３４０６２—２０１７和ＩＳＯ／ＩＥＣ２４７９１５的要求。５．４　交互５．４．１　交互页面和操作交互页面应简明，操作简便，必要时应有图文提示防伪验证操作方式。５．４．２　验证展示内容５．４．２．１　必要展示内容包括验证结果、产品关键信息、第三方公共平台公信监管信息及投诉链接和联系方式。其字段及说明参见附录Ｃ。验证结果和产品关键信息按照验证是否通过分别为：ａ）　验证通过时，应展示的产品关键信息包括产品名称、规格参数、生产企业、品牌、生产日期和个性物理特征照片；ｂ）　验证不通过时，应提示该产品为疑似假冒等相关信息。５．４．２．２　扩展展示内容包括防伪验证技术服务方信息、产品溯源信息、产品质量检验信息、产品唯一性的进一步核验途径、操作提示以及其他与产品相关的展示信息。其字段及说明参见附录Ｄ。５．５　安全５．５．１　犃犘犘应符合ＧＢ／Ｔ３４９７５—２０１７中４．１的要求。５．５．２　数据传输数据传输安全应符合ＧＢ／Ｔ３７０２５—２０１８的规范。传输过程应使用ＳＳＬ，应采用ＨＴＴＰＳ协议。服务端可使用ＣＡ证书防止中间人篡改，客户端应验证ＣＡ证书。５．５．３　数据载体５．５．３．１　数码数码载体安全应符合ＧＢ／Ｔ１９４２５—２００３中的要求。５．５．３．２　二维码二维码载体安全应符合ＧＢ／Ｔ３４０６２—２０１７中第７章的要求。５．５．３．３　犚犉犐犇ＲＦＩＤ标签和ＲＡＳ标签应具有唯一性，每个标签应具有唯一ＵＩＤ。ＲＦＩＤ标签和ＲＡＳ标签的密码应具有唯一性，不可重复使用。ＲＦＩＤ标签和ＲＡＳ标签应与商品一一绑定，