信息安全技术 轻量级鉴别与访问控制机制-编制说明

一、工作简况1.1任务来源根据国家标准化管理委员会在2013年第一批国家标准制修订计划，《信息安全技术轻量级鉴别和访问控制机制》由西安西电捷通无线网络通信股份有限公司承办，计划号：20130328-T-469。该标准由全国信息安全标准化技术委员会归口。1.2主要起草单位和工作组成员本标准由西安西电捷通无线网络通信股份有限公司主要负责起草，无线网络安全技术国家工程实验室、中国电子技术标准化研究院、中科院软件所、重庆邮电大学、深圳海思半导体有限公司、山东省计算中心等单位共同参与该标准的起草工作。1.3主要工作过程1、2012年6月至12月，标准编制组讨论并确定标准的范围、框架及主要技术内容。2、2013年1月至6月，根据标准范围与框架，开展轻量级鉴别机制部分的标准编写工作。3、2013年7月至2014年7月，根据标准范围与框架，展开访问控制机制部分的标准编制工作。4、2014年7月至2016年9月，标准编制组经过多次讨论和修订，形成编制组草案稿。5、2016年10月17日，TC260/WG4工作组会议讨论确定形成第二版草案稿并继续征求工作组专家意见。6、2016年10月至2016年12月，标准编制组根据TC260/WG4工作组会议上专家意见对标准文本进行修改形成第二版标准草案。7、2017年4月7日，根据征集到的意见对标准文本进行了修改、完善，提交TC260/WG4工作组武汉会议讨论。8、2017年8月16日，根据征集到编制组内部意见对标准文本进行了修改、完善，形成第三版标准草案稿，提交TC260/WG4工作组北京会议讨论。9、2017年8月23日，TC260/WG4工作组北京会议对修改后的标准草案稿进行了讨论，提出了修改意见和建议。10.2017年9月，标准起草组根据北京会议的意见和建议，修改完善标准稿件，形成第四版草案稿，于9月21日提交TC260/WG4工作组。11、2017年10月16日，TC260/WG4工作组厦门会议对修改后的标准草案稿再次进行了讨论，并提出了修改意见和建议。12.2018年3月，标准起草组根据TC260/WG4厦门会议的意见和建议，修改完善标准稿件，形成第五版草案稿，于3月14日提交TC260/WG4工作组。13.2018年3月，标准起草组收到WG4秘书处转来的飞天诚信科技股份有限公司反馈的一条意见，并进行处理。14.2018年4月3日，TC260/WG4工作组秘书处在北京组织召开了专家审查会（7名专家），会议审议了该标准的第五版标准草案稿以及对飞天诚信科技股份有限公司意见的处理，提出了部分修改建议，会议最终通过了对该标准的审查，对于标准涉及的专利问题达成共识，认可目前按照GB/T20003.1-2014的处理方式，建议标准加快进度，尽快发布。15.2018年4月，标准起草组进一步收到WG4秘书处转来的公安部第三研究所等五家单位提出的20条意见，标准起草组对专家审查会上的专家意见以及收到的各单位的反馈意见进行处理，并修改并形成第六版标准草案稿。16、2018年4月15，在TC260/WG4工作组武汉会议上，项目组对该标准草案稿进行汇报，会议决定同意该标准进入征求意见阶段。17、2018年5月，项目组根据TC260/WG4工作组武汉会议上专家意见修改并形成征求意见稿，提交WG4秘书处。1.4标准征求意见的落实情况如下：1、工作组第一版草案阶段，在TC260/WG4工作组进行专家评审和征集意见工作，共收到反馈意见5条，全部为采纳，对标准文本进行了相应修改。2、工作组第二版草案阶段，在TC260/WG4工作组进行专家评审和征集意见工作，共收到反馈意见7条，全部为采纳，对标准文本进行了相应修改。3、工作组第三版草案阶段，在TC260/WG4工作组进行专家评审和征集意见工作，共收到反馈意见7条，有一条未采纳并已说明未采纳原因，其余6条采纳，对标准文本进行了相应修改。4、工作组第四版草案阶段，在TC260/WG4工作组进行专家评审和征集意见工作，共收到反馈意见13条，其中8意见进行了现场解释和说明，无需对标准文本进行修改，其余5条均为采纳，并对标准文本进行了相应修改。5、工作组第五版草案阶段，在TC260/WG4工作组成员单位征集意见，3月份共收到反馈意见1条，部分采纳。6、在TC260/WG4工作组秘书处4月3日组织的专家审查会上，共收到反馈意见17条，已全部采纳，并修改了文本。7、在TC260/WG4工作组成员单位征集意见，4月份进一步收到20条意见，已基本采纳，并修改文本；未采纳的已做出解释。8、在2018年4月15TC260/WG4工作组武汉会议上，收到4条意见，两条已在会上解释并达成一致，两条已采纳并做修改。具体参见意见汇总处理表。二、标准编制原则和确定主要内容的论据及解决的主要问题（一）本标准的编制过程中遵循以下原则1.遵循现行国家标准，采用和借鉴国内外先进标准本标准编写格式按国家标准GB/T1.1-2009的规定予以编写。2.贯彻国家有关政策与法规本标准中涉及的密码算法完全遵循了国家商用密码的有关规定。3.认真听取、分析各方意见，做好意见的处理和反馈《信息安全技术轻量级鉴别和访问控制机制》标准草案稿的编制过程中，各起草单位齐心协力，进行了充分地沟通和交流，形成了标准编制组内统一的标准文本，将会进一步按照信安标委的要求开展更加广泛的征求意见工作。（二）本标准的主要内容本标准规范了了轻量级鉴别机制和访问机制的原理和流程，主要内容包括基于异或运算的鉴别机制、基于哈希运算的鉴别机制、基于分组密码算法的鉴别机制和基于非对称密码算法的鉴别机制共四种鉴别机制，以及基于对称密码算法的访问控制机制和基于访问控制列表的访问控制机制两种访问控制机制。（三）本标准在确定主要内容时主要基于如下几个方面1.对符合物联网、尤其是资源受限的网络的鉴别与访问控制机制进行规范，用以支撑物联网的应用。2.所规范的鉴别与访问控制机制结合物联网的实际应用，提出不同安全等级的机制，且每一项机制都要尽量降低计算、存储的复杂度，以及通信方面的开销。三、主要试验[或验证]情况分析本标准中的方案来自不同的国际或国家标准，这些国际或国家标准都已颁布实施，在各自领域都已获得了应用，多家厂商均研发出了符合标准的产品。标准各项要求在部分起草单位设备上进行了验证，效果良好。四、知识产权情况说明西安西电捷通无线网络通信股份有限公司、国家无线电监测中心检测中心已按照GB/T20003.1-2014的要求向TC260秘书处提交了必要专利信息披露表、通用必要专利实施许可声明表以及已披露的专利清单。并在标准草案引言中添加了专利声明信息。六、采用国际标准和国外先进标准情况本标准参考了相关国际标准。未采用国际标准和国外标准。七、与现行相关法律、法规、规章及相关标准的协调性(一)贯彻国家有关政策与法规本标准中涉及的密码算法应遵循国家商用密码的有关规定。(二)与相关国际标准的关系本标准与我国现行的法律、法规及国家标准、国家军用标准、行业标准不存在冲突问题。本标准发布后，既可以为相关的通信行业标准和国家标准的制定提供依据，进而成为政府监管的依准，又可以指导网络平台和设备的设计与开发，为网络的部署、实施与运营提供鉴别和访问控制等安全保障。八、重大分歧意见的处理经过和依据本标准起草过程中未出现重大分歧，妥善处理了各阶段收到的专家意见和建议。九、标准性质的建议本标准应作为一项推荐性国家标准。十、贯彻标准的要求和措施建议本标准的技术已较为成熟，实施难度不大，建议本标准的发布日期与实施日期相隔六个月的时间。为了使标准的规定得到有效贯彻，建议技术归口标委会及时通知行业内各单位本标准的发布信息，在过渡期内组织编写标准宣贯材料及宣贯活动。十一、替代或废止现行相关标准的建议本标准首次制定，无废止、替代标准。