各相关单位和专家：

经标准编制单位的辛勤努力，现已形成国家标准《信息技术 安全技术 可鉴别的加密机制》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

恳切希望您对该标准提出宝贵意见。并将意见于2017年8月17日前反馈给信安标委秘书处。

联系人：许玉娜   xuyuna@cesi.cn   010—64102731

全国信息安全标准化技术委员会秘书处

2017年7月3日

标准文本：可鉴别的加密机制

编制说明：

国家标准《信息技术　安全技术　可鉴别的加密机制》

（征求意见稿）编制说明

一、工作简况

• 任务来源

本标准是根据国家互联网信息办公室网络安全协调局下达的《信息技术　安全技术　可鉴别的加密机制》项目制定的。

• 标准研制组

本标准由中国科学院数据与通信保护研究教育中心（以下简称DCS中心）牵头研制，课题负责人为王琼霄，本标准其他参研位包括中国科学院软件研究所、北京江南天安科技有限公司。

• 主要工作过程

2016年7月，国家互联网信息办公室网络安全协调局下达关于《信息技术　安全技术　可鉴别的加密机制》标准编写的任务。课题组负责人随即召集标准编制课题组的相关成员开会，具体讨论和分配了小组的任务、标准制定的重要事项、及需注意的事项。

课题组成员在对本标准进行深入的需求分析的基础上，对国内外现有的相关标准规范进行了全面调研，并对《信息技术　安全技术　可鉴别的加密机制》编制工作进行了调研总结及后期编制工作做了进一步规划。

2016年11月底，完成标准初稿，并在课题组内部进行了讨论，x经课题组成员多次讨论修改后，于2017年2月形成标准草案。

2017年3-4月，标准草案在WG4工作组内征求专家意见，并于2017年4月9日，由信安标委组织召开的“全国信安标委2017年第一次会议周”上对标准草案进行了评审，共收到专家意见5条，5条意见均采纳。

2017年4月，课题组组织课题组讨论，根据专家意见，对标准内容、格式进行修改完善，并于2017年4月30日形成标新版本的准标准草案。

2017年6月14日，WG4工作组组织标准评审会，会上专家对标准格式提出了具体修改意见。会后，课题组根据专家意见对标准格式进行了修改，形成了标准征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

• 标准编制原则

本标准基于国际标准ISO/IEC 19772:2009及其勘误版本ISO/IEC 19772:2009/Cor 1:2014，规定了6种可鉴别的加密机制方案。标准制定过程中充分考虑并结合我国相关密码技术标准及管理要求，对标准在密码算法使用在标准编制过程中，还主要参考了以下标准：

• GB/T 15852.1-2008 信息技术 安全技术 消息鉴别码 第1部分：采用分组密码的机
• GB/T 17964-2008 信息安全技术 分组密码算法的工作模式
• ISO/IEC 9797-1:2011 Information technology – Security techniques – Message Authentication Codes (MACs) – Part 1: Mechanisms using a block cipher
• ISO/IEC 18033-3: 2010 Information technology – Security techniques – Encryption algorithms – Part 3: Block Ciphers
• ISO/IEC 11770-2: 2008 Information technology – Security techniques — Key management – Part 2: Mechanisms using symmetric techniques
• 标准解决的问题及主要内容

数据机密性与完整性保护是对数据安全的基本要求，当需要同时满足上述两种安全需求时，常见的解决方案是对数据进行加密，并计算消息鉴别码（MAC）。加密与MAC的组合可能存在很多种方式，但并非任何组合方式都具有足够的安全性，而错误的组合还可能引发安全问题。

为解决对数据机密性与完整性保护的有效保护，本标准规定了6种可证安全的可鉴别的加密机制方案，定义规范的数据加密与解密操作流程，通过一个完整的数据操作过程，实现对于数据机密性保护、数据完整的保护与数据源鉴别。

本标准内容包括11个章节与3个附录组成。

第一章阐述了描述了本标准的目的及适用范围。

第二章列举了制定本标准所参考引用的标准及规范。

第三章对本标准中涉术语进行了定义。

第四章对本标准中使用的通用符号进行了解释说明。

第五章对本标准的主要内容、基本原理与要求进行阐述。本标准规定的六种可鉴别的加密机制方案均基于分组加密算法，对于支持对未加密的数据进行数据源鉴别的方案，原始数据由D和A两部分构成。使用可鉴别的加密机制保护数据的通信双方，需共享密钥并协商确定相应的算法及计算方法。

第六章至第十一章分别描述了六种可鉴别加密机制的方案，各章均包含简介、特定符号与标记、加密程序与解密程序等内容。其中，特定符号与标记对各方案中使用的除通用符号以外的符号及标记进行解释说明；加密程序，对被保护数据作为输入产生可鉴别的加密数据的过程进行具体描述；解密程序，可鉴别的加密数据进行解密、验证的过程进行具体描述。第六、九、十一章中，针对加密/解密过程中所需专用函数及运行进行了具体说明。

附录A为规范性附录，对本标准定义的六种可鉴别的加密机制给出ASN.1语言描述，并明确相应的OID。

附录B为资料性附录，为本标准中定义的可鉴别的加密机制方案的使用提供指导。任一方案的使用需要选择与该方案匹配的参数。B.1节对于各方案均应满足的需求，给出了使用建议。B.2节对于在应用中选取哪种方案，给出了需考虑的因素。B.3至B.8节分别对本标准定义的六种方案分别给出了主要参数的建议值。

附录C为资料性附录，使用SM4分组密码算法实现标准中规定的可鉴别加密机制方案（不包括方案5），针对每一种方案给出具体的数据示例。

三、主要验证情况分析

本标准研制过程中，对标准中规定的5种可鉴别的加密机制按其协议过程进行了代码实现，并以ISO/IEC 19772:2009的附录中给出的示例数据进行代码的正确性验证。由于方案5可以使用任意的分组密码算法与消息鉴别码算法进行组合实现，故未进行具体的代码实现。这些代码实现时，均采用AES分组密码算法，与ISO/IEC 19772:2009附录中的示例算法一致。将附录中设定的起始变量、明文数据等作为输入，验证输出结果的正确性。通过对全部示例数据的验证，确定5种可鉴别的加密机制的代码实现均正确。

在此基础上，根据本标准的修改内容，将ISO/IEC 19772:2009中使用的AES分组密码算法替换为我国的商用密码算法SM4，SM4算法模块参照密码行业标准GM/T 002-2012《SM4分组密码算法》实现，并使用标准中提供的数据进行了算法实现的正确性验证。同样以ISO/IEC 19772:2009中示例数据的输入作为替换为SM4算法后的输入，记录输入结果，最终作为本标准附录C中给出的具体数据示例。

四、知识产权情况说明

本标准规定了6种可鉴别的加密机制方案，其中方案1(OCB2.0)涉及2项美国专利：

• US7949129 Method and apparatus for facilitating efficient authenticated encryption.
• US8321675 Method and apparatus for facilitating efficient authenticated encryption.

上述两项专利仅在美国有权，对于不在美国生产、不在美国销售的产品将不受专利权影响。此外，该专利对开源软件（Open Source Software）、OpenSSL、科研应用、非商业应用等免费授权使用，并由专利权人在其官方网站上（http://web.cs.ucdavis.edu/~rogaway/ocb/license.htm ）对外发布。

本标准为保持技术完整性，且与国际标准一致，因此保留了OCB2.0的技术内容，该方案只是6种方案中的一个，标准读者可以根据实际情况自行选择适用的可鉴别的加密机制方案，并进行实施。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

本标准的制定基于国际标准ISO/IEC 19772:2009，是对该标准的修改采用。结合我国密码管理要求及实际应用环境，本标准基于国产密码算法对ISO中与密码算法相关的内容进行了修改调整，并给出具体的数据示例，能够为可鉴别加密机制在我国的应用提供有效指导。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准内容与现行的多项国家标准有技术关联性，如本标准引用的GB/T 15852.1-2008、GB/T 17964-2008，以及标准中提及的GB/T 17901.1-1999，本标准涉及密码技术的应用，标准内容符合我国相关密码管理政策要求，对国产密码算法推广应用可起到规范与促进作用。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议将本标准作为推荐性标准。

十、贯彻标准的要求和措施建议

无。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

国家标准《信息技术 安全技术 可鉴别的加密机制》编制工作组

2017-06-19