YDB 085.2-2012 近场通信（NFC）安全技术要求 第2部分：安全机制.pdf

1、通标;佳类技术于最YDB 085. 2-2012 近场通信(NFC)安全技术要求第2部分:安全机制要求Technical specification ofNFC security -Part 2: security mechanism requirements (ISO/IEC 13157-2: 2010, Information technology一Telecommunicationsand information exchange between systems一-NFC Security一-Part2: security mechanism requirements, NFC-SEC

2、cryptography standard using ECD丑andAES , MOD) 2012一03-25印发中国通信标准化协会发布YDB 085.2-2612 自欠前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1口l 范围. . . . . . . . . . . . . . . . . . . . . . . . . .

3、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 3 一致性. . . . . . . . . . . . . . . . . . . . . . . . .

4、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 术语和定义. . . . . . . . . . . 2 5 常用语和符号. . . . . . . . . . . . . 2 5.1 级连. . . . . . . . . . . . . . . . . 2 5.2 十六进制数字. . . . . . . . 2 6 缩略语. . . . . . . . . . 2 7 概要. . . . . . . . . . . . . . . 3

5、8 协议标识符. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 9 原语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6、 . . 3 9. 1 密钥协商.4 9. 2 密钥导出函数. . . . . . . . . . . . . . . . . . . . . . :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 9.3 密钥用途. . . . . . . 5 9. 4 密钥确认. . . . . . . 5 9. 5 数据加密. . . . . . . . . . . . 6 9.6 数据完整性. . . . . . . . . . . . . . . . . . 6 9. 7 信息序列完

7、整性. . . . . . . . . . . . . . . . . . . 6 10 数据转换. . . . . . . . . . . . . . . 6 10. 1 整数到字节串的转换. . . . . . . . 6 10.2 字节串到整数的转换. . . . . . . . 7 10.3 点到字节串的转换. . . . . . . . 7 10.4 字节串到点的转换. . . . . . . . 7 11 SSE和SCH服务调用. . . . . . . . . . . . 7 11. 1 前提条件.8 11. 2 密钥协商.8 11. 3 密钥导出.9 11. 4 密钥确认.9

8、12 SCH数据交换. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 12. 1 准备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 12

9、.2 数据交换.口附录A(规范性附录)AES-XCBC-P盯寸28和AES-XCBC-MAC-96算法. . . . . . . . . . . . . . . . . . . . . . 13 附录B(规范性附录)宇段大小. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 附录C(资料性附录)参考信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10、 . . . . . . . . . . . . . . . . . . . . 15 I YDB 085. 2一-2012_._电自IJ1=1 YDB 085 (近场通信(NFC)安全技术要求分为两个部分:一一第1部分:NFCIP-l安全服务和|办议一第2部分:安全机制要求;本部分是YDB085的第2部分。本部分修改采用了ISO/IEC13157-2 (信息技术一系统问通信及信息交互-NFC安全一第二部分:NFC 安全，使用ECDI-I和AES的密码标准。为适应信息、通信业发展到通信标准文件的需要，在工业和信息化部统安排下，对于技术尚在发展中，又需要有相应的标准性文件引导其发展的领域，由中国

11、通信标准化协会组织制定通信标准类技术报告，推荐有关方面参考采用。有关对本技术报告的建议和意见，向中国通信标准化协会反映。II 本技术报告由中国通信标准化协会提出并归口。本部分起草单位:工业和信息化部电信研究院、西电t走边无线网络通信公司。本部分主要起草人:孙倩、张琳1料、胡Jk.楠、潘娟。YDB 085.2一-2012近场通信(NFC)安全技术要求第2部分:安全机制要求1 范围本部分中规定了协议标识符PIO为01的消息内容和加密方法。本部分定义的密码机制是使用ECOHCElliptic Cruves Oiffie-Hel1man椭国曲线Diffie-Hellman)协议作为密钥协定协议以及AE

12、SCAdavanced Encryption Standard高级加密标准)算法用于数据加密和完整性保护。本部分适用于NFC安全服务建立中的安全机制的要求。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。YDB 085. 1近场通信(NFC)技术要求一第1部分:NFCIP一l安全服务和协议ISO/IEC 10116: 2006信息技术安全技术-n位分组密码算法的操作方式CInformation technology - Security techniques - MQ

13、des of operation for an n-bit block cipher) ISO/IEC 11770-3: 2008信息技术一安全技术一密钥管理一第3部分:使用不对称技术的机制(Information technology - Securi ty techniques - Key management - Part 3: Mechanisms using asymmetric techniques) ISO/IEC 15946-1: 2008倍息技术一安全技术一基于椭肉曲线的密码技术一第一部分:总则(Information technology - Securi ty techn

14、iques - Cryptographic techniques based on elliptic curves - Part 1: General) ISO/IEC 18031: 2005信息技术一安全技术一随机比特2生成(Informationtechnology - Security techniques - Random bit generation) ISO/IEC 18033-3: 2005信息技术一安全技术一加密算沾一第3部分:分组密码(Informationtechnology - Security techniques - Encryption algorithms - P

15、art 3: Block ciphers) ISO/IEC 18092: 2004信息技术一系统间远程通信和信息交换一近场通信一接口和协议CNFCIP-1) C Ecma发布为ECMA-340标准)(Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol (NFCIP-1) IEEE 1363公钥密码学的IEEE标准规范(IEEE Standard Specifications

16、for Public-(ey Cryptography) FIPS 186一2数字签名标准(Digtal Signature Standard (DSS) 3 一致性通过使用本部分中所介绍的NFC-SEC辛苦码标准(标识为PID01)中定义的安全机制即可实现一致性，并且符合本报告第1部分的要求。NFC-SEC安全服务的建立应通过本报告第1部分中定义的协议以及本部分中定义的安全机制来完成。4 术语和定义YDB 085.2-2012 YDB 085. 1界定的术语和主义适用于本部分。5 常用语和符号YDB 085. 1界定的以及卡列常用语和衍号适用于本部分。5. 1 级连A 11 B表示宇段A和l

17、寸段B(J级联:B内容在A内容之后。5. 2 十六进制数字CXY)代表口的，.六进制数(即以16为基数)，每对字符编码为-个字节。6 缩回各i吾下列缩略语边用于本部分。A AES B d气dR DataLen EC ECDH EncData G ID. IDB IDR Sender Advanced Encryption Standard Receiver Sender s private EC key Recipient s private EC key Length of the Us巳rDataElliptic Curve Elliptic Curve Diffi巳-Hellll1anE

18、ncrypted data The base point on EC Sender nfcid3 Recipient口fcid3Any Recipient identification nU ll1ber (e. g. 1D8) 发送器(在YDBXXX.1中规定)高级加密标准接收器(在YDBXXX.l+1规定)发送器的EC私钊接收器的EC私钥用户数据的长度椭网山线椭圆曲线DiffieHellll1an密码算法加密数据EC的基点发送器nfcid3接收器nfcid3任意接收器识别码(例如IDs)IDs Any Sender identification nU ll1ber 任意发送器识别码(例如四

19、川)IV K KDF KE KI MAC Mac/Macp, 2 MacTag九MacTag MK NA/NB NAA/NBB (e. g. IDA) Ini tial Value Key Key Derivation Function Encryption Key Integrity Key Message Authentication Code 1ntegri ty protection value of Sender/ Recipient Key confirll1ation tag froll1 Sender Key confirll1ation tag froll1 Recipien

20、t Master Key Nonce generated by Sender/Recipient Nonce generated by the pair of NFC-SEC 初始值需钥密钥导出函数加密密钥完整性密钥消息鉴别码发送器/接收器完整性保护值发送器密钥确认标识接收器密钥确认标识主密钥发送器/接收器产生的随机数NFC-SEC实体对产生的随机数YDB 085.2一-2012entities l飞llcesSellJ已1. llullC巳;二j兰岛的随机22r、ADi 接收器的随机数公钥接收器公钥发送器公钥伪随机数生成器发送器/接收器压缩EC公钥Recipient s nonce Publ

21、ic Key Recipi巳nts Public Key Sender s Pub1ic K巳yPseudo Randorn Nurnber Generator Cornpressed EC pub1ic key of Sender / Recipient Decornpressed EC pub1ic key of Sender / Recipient RNG Randorn Nurnber Generator 随机数生成器SharedSecret Shared secret 共享秘密UserData NFC-SEC User data NFC-SEC用户数据z Unsigned integ

22、er representation of 共享秘密的无符号整数表示the Shared Secret Z Octet string represe口tationof z z的字节串表示注:第9章和第10章中使用的以t未歹IJ:I的英文缩写不是缩11路话，而是公式或原fg+参数。Noncel R V且pi PKs PRNG QA/QB QjQIl 发送器/接收器解压EC公钥7 概要本部分定义了YDB805. 1 i: SSE (共享秘密服务)以及SCH(安全通道服务)使用的安全机制。为保证事先没有共享秘密的NFC设备的通信安全，公钥密码机制被用来在设备之间建立共享秘密，确切的说，即为ECDH密钥

23、交换方法。这个共享秘密被用来建立SSE5fOSCH服务。8 协议标识符本部分应使用l字节协议标识符，PID值为109原i吾本章定义加密原话。第11章和第12章规定这些原语的使用。特点概要见表10表1特点概要支持的服务SSE (见YDB085.1) SCH (见YDB085.1) 密钥协商ECDH P-192 密切导出函数(KDF)AES-XCBC-PRF128 密切确认AES-XCBC-MAC-96 数据加密AES128-CTR IV Init: AES-XCBC-PRF-128 数据完Jj直性AES-XCBC-MAC-96 序列完整性SN (见YDB085. 1) 力口密顺序先加密(9.5)

24、再计算MAC(9.6) 3 YDB 085.2-2012 9. 1 密钥协商对等的NFC-SEC实体应该与使用ISO/IEC11770-3密饲协商机制4的共享秘密达成一致，r面将对IEEE 1363巾的ECDH原语做进一步的介绍。9. 1. 1 曲线P-192所使用在FIPS186-2中规定的曲线P-192o9.1.2 EC密钥对生成原语私钊dI句从符合ISO/IEC18031的随机或伪随机过程生bX0 a) 从符合ISO/IEC18031的随机或伪随机过程生成私钊dob) 计算公钥内，fl:为EC上的点，PK=dG。9. 1. 3 EC公钥验证EC公钊!草根据ISO/IEC15946-1的公

25、钥验证规定进行验证。9.1.4 ECDH密秘值推导函数ECDH函数根据IEEE1363的7.2.1ECSVDP-DH规定应输出有效的共享秘密z或者是无效的错误提/J0 9. 1. 5 随机数每个对等的NfC-SEC实体宜发送新的随机数和实体的EC公钊。该随机数将更多的信息、情提供给由共享秘密z推导:-11来的注:钥，便丁.EC密钥对的管理。随机数的正确生成是实体的责任。该实体应保证在协议期限生成的随机数有96位有效信息恼。在NFCSEC过程1-1使用的随机数与之前使用的随机数没有密码关联性。随机数生成的进步建议见ISO/IEC18031。9. 2 密钥导出函数两个需钥导:1函数(KDF)被指定

26、，SSE和SCH各一个函数。密钥导:1函数应使用A.1.中规定的XCBC-PRF-128肢式下的AES算法。对于以下部分KDF为:KDF (K, S) = AES-XCBC-PRF-128K (S) 用于SCH的随机源(随机数十从9.1.4中获得的共享秘密z)应不同于用于SSE的随机源。9. 2. 1 SSE的KDF用于SSE的KDF是:MKsSE工KDF-SSE(Nonces , Nonce , SharedSecret, IDs , ID,) 详细的KDF-SSE函数:S = (Nonces 0. 63J 11 NonceR 0. 63J) SKEYSEED = KDF (S , Shar

27、edSecret) MKsSE=KDF (SKEYSEED , S 11 IDs 11 IDR 11 (01) 9. 2. 2 SCH的KDF4 YDB 085.2-2012 用于SCH的KDF是:MKLH KElH， KIL1j - KDF SCIl (泣。nc山，汉onc山Shar己dSCCl、uip IDu IDK 详细的KDF-SCH函数:9.3 密钥用途S = (Nonces 0. 63J 11 NonceR 0. 63J ) SKEYSEED = KDF (S , SharedSecret) MKsCII = KDF (SKEYSEED , S 11 IDs 11 IDR 11 (

28、01) KEsCIJ = KDF (SKEYSEED , MKsCfI 1 1 S 11 IDs 11 IDR 11 ( 02) ) KIsCII = KDF (SKEYSEED , KEsclJ 1 1 s 11 IDs 11 m( 11 ( 03 ) ) 每个推导出的密钥MKsclJ，KEsCl1, KIsclJ和MKsSE应该仅用于表2规定的用途。对于每一个NFC-SEC过程，密钥MKsCHKEsClI KIscH和MKss而:不同。表2密钥用途密钥密钥描述密钥用途MKS(II SC丑的主密钥作为安全信道密钥的验证KES(II SCH的加密密钥力日密通过SCH发送的数据包K1,(1I S

29、CH的完整性保护密铝通过SCH发送数据包的完整性保护MKsSE SSE的主密钥共享秘密作为SSE的主密钥，用于传递给上层H才使用并且可用于密;万验证9. 4 密钥确认当使用在9.2中规定的一个KDF过程生成一个密钥时，对等的NFC-SEC实体都要检查是否双方确实拥有相同的密钥。每一个实体应产生一个在9.4.1规定的密钥确认标识并且应将其发送到对等实体。接收实体应根据9.4. 2中的规定来核实密钥确认标识。密钥确认机制根据ISO/IEC11770-3第9章密钥确认中的规定来确认。用于密钥确认(MacTag)的MAC应为A.2中规定的XCBC-MAC-96模式下的AESo9.4. 1 密钥确认标识

30、生成MacTag，密钥确认标识，等于MAC-KC(K , MsgID , IDS , IDR , P邸，PKR) ，并且应使用附录A.2规定的AES-XCBC-MAC-96K(MsgID 11 IDS 11 IDR 11 PKS 11 PKR)和密钥K来计算。9.4.2 密钥确认标识验证状态，如果MacT吨，= MAC-KC 忧，MsgID , IDS , IDR , P邸，PKR) , MAC-KC一VER忧，MsgID , IDS , IDR , P邸，PKR , MacT吨，)的返凹值为真。9. 5 数据加密使用的数据加密运算法是ISO/IEC18033-3中5.1AES部分规定的AES

31、算法。数据加密模式应为ISO/IEC10116的第10草计数器(CTR)模式中规定的CTR模式。9.5.1 计数器的初始值(IV) 为了避免发送计数器的初始值，计数器的初始值由两个实体根据随机数计算产生。5 YDB 085.2一-2012计数器的初始值1V等于MAC-1V ( MK , 1 1, NonceS , Noncel门，所使用附录A.1巾规定的AES-XCBC-PRF-128MK (K1 11 NonceS II NonceR I1 (04)和密饲MK来计算。9. 5. 2 加密R使用1SO/1EC10116中10.2力口密所规定的力11密密切KE来力1I密数据:EncData二EN

32、CKE(Data) 山于是CTR模式，不同使用填充数据。9. 5. 3 解密应使用1SO/1EC10116中10.3解密所规定的力11密密钊i但未解注:如l密数据。Data = DECKE (EncData) 9. 6 数据完整性SCH上传输的所有数据完整性应通过一个MAC保护。用于数据完整性的MAC应为A.2中规定的XCBC-MAC-96模式下的AESo9. 6. 1 保护数据完整性消息认证码Mac等于MAC-D1(K1 , 町，DataLcn , EncData)，而且j主用附录A.21+1规定的AES-XCBC-MAC-96K1 (SN 11 DataLen II EncData) 和密

33、钥11来计算。9. 6. 2 检查数据完整性 :1犬态，如果Mac= YlAC-D1 (K1, SN 1I DataLen II EncData) , MAC-D1-VER (K1, SN , DataLen, EncData, Mac )的返回值为真。9. 7 信息序列完整性信息序列完整性应根据YDB085. 1的12.3中的规定来处理。SNV值应在0至!J224一1范围内，初始值为0。当SNV等于224一1时，实体应终止SCH。10 数据转换10. 1 整数到字节串的转换输入:非负整数X，该字节串预定长度k满足:tk x。输出:长度k的字节串Mo地，M2 ., Mk是M从东到右的字节。M的

34、字节满足:10.2 字节串到整数的转换输入:长度k的字节串M。6 x = I28(k-l) M; 输出:整数XoML 岖，. 胁是iv从丘到右的了:节。M转换为整数x满足:10.3 点到字节串的转换EC上的点通过以下方式转换成字节串z输入:椭圆曲线点P= CxP , yP)。x = L 28(k-l) M , 输出:字节串PO，y坐标是最左边的字节，x坐标是余下的字节串。a) 根据10.1规定转换元素xP为字节$Xo YDS 085.2一-2012b) 根据ISO/IEC15946一1EC20SPE和OS2ECPE的6.6:椭圆曲线点/字节串转换的规定计算出YPOc) 如果yP是0，字节串PC

35、值为(02);如果yP是1.PC值是(03)。d) 结果是字节串PO= PC 11 Xo 10.4 字节串到点的转换字节串应按照如下方法转换为EC上的点:输入:字节串PO，y坐标是最左边的字节和x坐标是余下的字节串输出:椭圆曲线点P= CxP , yP)。a) PO如下解释:当时是一个单个字节，并且X是长度k的字节串时，PO = PC 11 Xo b) 根据10.2，转换X为元素xP。c) 确认同是(02)还是(03)，否则出错。d) 如果PC等于(02)，设置?为0;如果PC等于03，设置yP为10e) 根据ISO/IEC15946-1 EC20SPE和OS2ECPE的6.6:椭信!曲线点/

36、字节串转换中的规定，转换cxp , yP)为椭罔曲线点CxP, yP)。f) 结果是P= CxP , yP)。11 SSE和SCH服务词用SSE和SCH服务是通过两个NFC-SEC实体之间共享秘密的建立来调用的，共享秘密是通过YDB085. 1 中定义的密钥协商和密钥确认协议来建立的。这个过程在图1中描述，在本章中将进一步明确。7 YDB 085.2一2012l接吹器BI QA IINA 11.且NA之J巴IB一!气什1&NB 人jJ: .I I1Jl i挝、，Z ,1 ! MK KOF (NA , NB. 10飞.IDn. z) Wll共字也;!.f;z A一门Y-B 门可一d 飞-D I-

37、,R D一i-K M一( fm ，一一一飞3-obob aa TT cc aa - LWLW rIm 让rf价计一检t、lacTagB.刘rSSE设笠共驯密MKI ,JT SSE.设f!:j主f封密MK图1密钥协定和密钥确认概述11. 1 前提条件在开始服务前，对于每个NFC-SEC实体以F部分需要提供:一一根据9.1. 2规定生成白身的EC公钥和私钥。注:当(在该频率)Ect轩钥对生成时，已超出了YDS085. 2的自凶。一-ISO/IEC18092中规定的8i!身的fcid3和其他的NFC-SEC实体的nfcid3011. 2 密钥协商发送器CA)PDU 传输接收器CS)通信方向山箭头表示

38、，有效载荷显示在括号1生)JX;I;jfiiJL数NAH-: Wi QA 发送给BA B: ACT_REQ CQA 11 NA) 生成随机数NB)主缩QBA B: 发送给AACT_RES CQB 11 NB) 从QB重建QB从QA重建QA检查QB检查QA计算共享秘密:Z计算共享秘密:ZL一一一一11. 2. 1 发送器(A)转换a) 根据9.1. 5生成随机数NAo8 YDB 085. 2一一2012b) 根据10.3确定QA为宁节串QA。c) 发送QA11 可A作为ACT_REQPDU的有效载荷。d) 从ACTRES PDU的有效载荷中接收肥，11阻oe) 根据10.4山础重建QB0 f)

39、如果已经收到公t钥月，先前计算丰莉和n存t储者的QFg) 根据9.1.3验证是;沓岳舌;Q昭B是E肌C参数的有效密钥如果是无效的，则在协议机设置p叩DU内容有致为假，跳过步骤7和8。h) 使用9.1. 4的Diffe-HellmanJ泉语。如果输出z是无效的，则在协议机设置PDU内容有效为假，跳过步骤80i) 根据10.1中的规定转化z为字节串Zo11.2.2 接收器(B)转换a) 从ACT_REQPDU有效载荷中接收QAI! NA。b) 根据9.1.:5生成腿机数础。c) 根据10.3确定QB为字节率由。d) 发送QB11 NB作为ACT_RESPDU的有效载荷。e) 根据10.4由QA重建

40、Q，。f) 如果已纤得到公钊，先前计算存储的Q，值可重用，则下而步骤可跳过。g) 根据9.1. 3验证是否QA是EC参数的有效密铝。如果是无效的，在协议机设置PDU内容有效为假，步骤7和8可以省略。h) 使用9.1. 4的Diffe-Hellman原诺。如果输出z是无效的，则在协议机设置PDU内容古效为假，跳过步骤8。i) 根据10.1转化z为字节串Z。11. 3 密钥导出11. 3. 1 发送器(A)转换对fSSE服务，恨据9.2.1得到:媳妇=KDP-SSE (NA, NB , t , ID A, IDrJ 。对于SCH服务，根据9.2.2得到:MKsCII , KE sCII , K1s

41、cII = KDF-SCH (NA , NB , Z, ID, ID)。11. 3. 2 接收器(B)转换对于SSE服务，根据9.2.1得到:MK sSE = KDF-SSE (NA , 阻，Z, ID, 1D6)。对于SCH服务，根据9.2.2得到:MKsCH , KEsClI KIsw = KDF:-SCH (NA , 阻，Z, ID, 1D8)。11. 4 密钥确认飞V发送器(A)PDU，传输接收器(8)通信方向由箭头表示，有效载有J显示在括号、中计算密钥确认标识:MacTagA (MK) 发送到BA B: VFY_REQ (MacTagA) 检查从A接收的密钥确认标识:MacTagA

42、(MK) 9 YDB 085.2-2012 计算密切确认标识:MacTagB (MK) A B: VFY _ RES (MacTagB) 检查从B接收的密钥确认标识:MacTagB CMK) 对于SSE，设置共享:秘密值为对于SSE，设置共字秘密值为MK MK 11. 4. 1 发送器(A)转换a) 根据9.4.1，计算从A到B的密钥确认标识，MacTagA = MAC-KC (则，(03) , IDA , IDB , QA , QB)。b) 发送MacTagA作为VFY_REQPDU的有效载荷。c) 从VFY_RESPDU的有效载荷接收MacTagB。d) 检查从B到A的密钥确认标识。根据9

43、.4.2在|办议机设置MAC-KC-VER(岖，(02) , IDB , IDA , QB , QA , MacTagB)的输出为PDU内容有效。如果无效，跳过步骤50e) 对于SSE服务，设置共享秘密-MKssE 0 11. 4. 2 接收器(B)转换从VFYREQ PDU的有效载荷接收MacTagA0 检查从A到B的密钥确认标识。根据9.4.2在协议机设置MAC-KC-VER(MK , (03) , IDA , IDB , QA , 邸，MacTagA寸的输出为PDU内容有效。如果无效，跳过步骤3，骄阳。根据9.4.1计算从B到A密钥确认标识MacTagB= MAC-KC (MK , (0

44、2) , 四日，IDA , 侣，仙，)。发送MacTagB作为VFY_RESPDU的有效载荷。对于SSE服务，设置共享秘密=MKsSEo 12 SCH数据交换根据第11章中的定义，SCH调用后，两个NFC-SEC实体间的数据交换棋据YDB085.1中的规定来进行，如图2所示，本章中将进一步明确。10 YDB 085.2-2012 f;:)j SNV l臼JJIISNV l饵EncData计，1Mac 12. 1 准备NFC-SEC 实体AANFC-SEC 实体BBSN 11 DataLen 11 EncData 11 Mac 图2SCH协议概述NFC-SEC实体CAA;fnBB)应执行以F准备步骤:检lU列元始在l险五tf.Mac WI1J!ISNV 1斗f.S1EncData a) 根据9.5.1生成CTR计数器初值，IV = MAC-IV CMK , KI , NAA , NBB) 0 b) 根据9.7初始化序列号变是