《信息安全技术 消息鉴别码 第2部分：采用专用杂凑函数的机制》编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2022年下达的国家标准制修订计划，《信息安全

技术消息鉴别码第2部分：采用专用杂凑函数的机制》由中国科学院软件研究

所负责承办，计划号：20230252-T-469。本标准由全国信息安全标准化技术委员

会归口管理。

1.2制定背景

中国科学院软件研究所为项目牵头单位，中电科网络安全科技股份有限公司

为项目应用推广牵头单位。其他参与单位包括：中国科学院大学、国家密码管理

局商用密码检测中心、桂林电子科技大学、陕西省信息化工程研究院、广西网信

信息技术有限公司、郑州信大捷安信息技术股份有限公司、格尔软件股份有限公

司、浙江大华技术股份有限公司、兴唐通信科技有限公司、北京信安世纪科技股

份有限公司、安徽科测信息技术有限公司、北京时代亿信科技股份有限公司、西

安得安信息技术有限公司、北京时代新威信息技术有限公司、长扬科技（北京）

股份有限公司、华为技术有限公司。吴文玲、眭晗、张立廷、刘丽敏、毛颖颖、

韦永壮、赵晓荣、韦博华、刘为华、郑强、魏东、蔡子凡、张宇、方铭、刘伟丰、

袁中林、俞政臣、赵华、曾光等为主要起草人。

1.3起草过程

2022年3月，编制组成员在前期研究工作的基础上，结合所修改采用的国

际标准ISO/IEC9797-2:2021，研究编写了GB/T15852.2《信息安全技术消息

鉴别码第2部分：采用专用杂凑函数的机制》标准草案与相关的申报材料。该

版标准规定了3种采用专用杂凑函数的消息鉴别码机制，给出了采用SM3密码杂

凑算法的操作方法与安全性说明等。

2022年4月18日，编制组成员眭晗在WG4工作组2022年网络安全国家标

准立项研讨会上汇报了标准拟解决的问题、主要技术内容、实施应用场景等，听

取了工作组成员单位对标准文本及应用实施方案的意见建议。

2022年4月至6月，编制组追踪调研了学术研究与应用实施的最新情况，

补充完善了标准研究报告与应用实施方案。

2022年7月4日，信安标委秘书处组织了WG3、WG4、WG5网络安全国家标

1

国家标准报批材料

准专家评审会，对标准申报材料进行专家评议。

2022年10月30日，信安标委发布标准项目立项通知，《信息安全技术消

息鉴别码第2部分：采用专用杂凑函数的机制》项目确定为委员会2022年网络

安全国家标准项目。2022年11月，中国科学院软件所作为牵头单位依照管理要

求组织开展项目参编单位征集工作，组织成立正式的标准编制组。编制组以线上

交流形式组织项目研讨，修改标准草案，编写标准编制说明、意见汇总处理表等

材料；并就各单位对标准应用实施的支持情况进行沟通，制定任务分工计划。

2022年12月6日，在信安标委2022年标准周活动中，编制组成员眭晗在

WG4工作组会议上汇报了标准编制情况，就标准的主要技术变化及原因做了详细

说明。工作组成员单位对标准修订内容进行了讨论，同意本标准形成征求意见稿。

2023年1月11日，编制组组织责任专家责任编辑评审会，邀请责任专家孙

思维、责任编辑林阳荟晨进行征求意见稿阶段逐句评审，对标准文本质量进行把

关。责任专家与责任编辑对编制组提交的标准文本材料质量表示了肯定，同时针

对文本中的具体问题提出了修改意见。编制组根据专家意见对标准文本进行修改

完善，并参考《信息安全技术散列函数》系列标准的当前修订情况对标准名称

和部分术语进行一致性修改。

2023年2月16日，信安标委秘书处组织征求意见稿标准评审会，编制组成

员眭晗汇报了标准编制情况。与会专家对于标准中涉及的专用杂凑函数的删减情

况存在不同意见，要求结合专用杂凑函数标准GB/T18238.3的修订情况再做讨

论，建议工作组对标准技术性修改内容给出明确意见。编制组与工作组、杂凑函

数系列标准编制组、信安标委秘书处积极沟通研讨，在专用杂凑函数的选择范围

确定的前提下，对标准的技术性修改内容进行了核查确认，并根据专家意见修改

完善标准文本及相关材料。

2023年4月，按照《全国信息安全标准化技术委员会标准制修订工作程序》

中的有关要求，开展《信息安全技术消息鉴别码第2部分：采用专用杂凑函数

的机制》标准试点验证工作，对标准内容的合理性和可操作性进行验证。为确保

标准试点工作的部署实施，项目牵头单位中国科学院软件研究所充分征求编制组

成员等相关主体的意见建议，根据工作要求编制试点工作方案。2023年5月4

日，WG4工作组组织试点工作方案评审，编制组成员汇报了试点工作方案的制定

2

国家标准报批材料

情况，与会专家一致同意通过该试点方案评审，建议编制组根据会议意见修改方

案后开展试点工作。

2023年5月30日，在信安标委2023年第一次“标准周”工作组会议上，

编制组成员眭晗在WG4工作组会议上汇报了标准编制的进展情况，与会专家与工

作组成员单位代表对标准文本提出了修改意见，建议编制组对标准文本中的翻译

内容按照中文习惯进一步检查调整。编制组在会后根据工作组意见重新对标准文

本进行逐字逐句检查，结合试点验证结果更新完善。

2023年6月30日，编制组邀请责任专家孙思维、责任编辑林阳荟晨对拟进

行公开征求意见的标准材料再次进行评审，对标准文本质量进行把关。

2023年8月17日，信安标委秘书处组织专家评审会对征求意见稿进行复审，

编制组成员眭晗对标准编制情况和上次评审以来的标准修订及讨论情况进行了

汇报。与会专家一致同意通过对标准的审查，建议编制工作组根据会议意见修改

完善标准文本及相关材料后，发起公开征求意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本次标准修订以国际标准ISO/IEC9797-2:2021为依据，结合行业应用情况

和理论研究分析进展，将底层的专用杂凑函数限定为安全的、符合国家管理要求

的密码杂凑算法，并相应地修改消息鉴别码算法的描述、调整文本段落、更新测

试向量与算法安全性说明。

2.2主要内容及其确定依据

本标准修改采用国际标准ISO/IEC9797-2:2021《Informationsecurity–

Messageauthenticationcodes(MACs)–Part2:Mechanismsusinga

dedicatedhash-function》，同时是对国家标准GB/T15852.2-2012《信息技术

安全技术消息鉴别码第2部分：采用专用杂凑函数的机制》（修改采用ISO/IEC

9797-2:2002）的修订。

本标准修订的主要内容及依据包括如下几个方面：

1）规定消息鉴别码算法

规范包括MDx-MAC、HMAC、MDx-MAC的变种在内的共三种采用专用杂凑函数

的消息鉴别码算法。这三种算法延续自现行标准GB/T15852.2-2012，算法的安

3

国家标准报批材料

全性具有理论和实践保障。三种算法均可采用SM3进行实现。标准中结合SM3

的参数特征对三种算法进行了规范，包括MDx-MAC及其变种中的常数的计算。

国际标准ISO/IEC9797-2:2021中除上述三种算法以外，新增了基于Keccak

的KMAC。KMAC专为SHA3系列杂凑函数设计，采用Keccak置换和海绵结构，不

支持采用其他专用杂凑函数。ISO/IEC9797-2:2021也仅规范了采用ISO/IEC

10118-3:2018中专用杂凑函数13-16的KMAC。鉴于SHA3系列杂凑函数不符合我

国密码管理规范，本标准对SHA3系列杂凑函数及其相应的消息鉴别码算法KMAC

均不予纳入。

2）修改可选杂凑函数的范围

规范采用我国标准密码杂凑函数SM3的MAC算法，删除不安全的杂凑函数。

GB/T15852.2-2012修改采用ISO/IEC9797-2:2002，规定可选杂凑函数包

括RIPEMD-160、RIPEMD-128、SHA-1、WHIRLPOOL。其中，RIPEMD-128和SHA-1

分别于2004年和2005被宣布可在理论上破译；国家密码管理局于2017年发布

了关于使用SHA-1密码算法的风险提示。

相对应地，我国自主研发的密码杂凑算法SM3于2016年颁布为国家标准

GB/T32905，并被收录于ISO/IEC10118-3:2018，是目前我国唯一具备标准规

范的、安全的密码杂凑算法。

为保证标准的先进性、合规性、科学性，本标准规定采用我国标准密码杂凑

算法作为标准中消息鉴别码算法的底层杂凑函数，并以此为依据进行算法的遴选

和规范。具体地，标准中规范了采用SM3的消息鉴别码的算法操作、参数设置等，

并在附录中给出了相应的算法测试向量。

3）增加技术性说明

消息鉴别码算法的安全性受到MAC值和输入数据串长度的影响。本标准参考

ISO/IEC9797-2:2021增加了关于MAC值和输入数据串长度限制的说明。同时，

增加了MAC算法概述、密钥长度、输入数据比特串长度的说明。

4）调整和规范文本

修改部分术语和定义、章节标题等，增强系列标准规范化。

本标准中的MDx-MAC及其变种采用相同的常数的计算，本标准参考现行国标

的处理方式，将“常数的计算”从MDx-MAC的章节中提出，作为独立的第9章。

4

国家标准报批材料

为方便应用厂商之间的交流沟通，并增强系列标准的一致性，本标准参考

GB/T15852.1-2020中对算法名称的标识方式，为3种消息鉴别码算法增加了常

用名称。

（5）变更标准名称

由于标准分类层级的变化，本标准的名称中“信息技术安全技术”变更为

“信息安全技术”。这将导致本标准颁布后的一段时间内该系列标准名称不统一。

另一方面，国际标准也在近年变更了标准分类层级，ISO/IEC9797-2:2021分属

“信息安全”。编制组将遵循国家标准的相关管理要求确定标准名称。

本标准与ISO/IEC9797-2:2021相比，技术差异及其原因如下：

——关于规范性引用文件，本标准做了具有技术性差异的调整，以适应我国的技

术条件，调整的情况集中反映在第2章“规范性引用文件”中，具体调整如

下：

•删除引用ISO10118-3；

•增加引用了GB/T18238.3-XXXX；

具体表现为，采用的专用杂凑函数为SM3密码杂凑算法。

——更改了术语“消息鉴别码”、“消息鉴别码算法”、“输出变换”，与GB/T

15852.1-2020一致；更改了术语“初始值”、“轮函数”、“分组”、“字”的

定义，与GB/T18238.1、GB/T18238.3、GB/T25069-2022一致；

——更改了符号（替换为）、（替换为）、的定义，与GB/T

j~XMSBj(X)w:

15852.1-2020一致；

——增加了符号的定义，以增强文本可读性；

——删除了关于MAC算法4、ISO/IEC18033-3:2018中的专用杂凑函数1-16的

说明；

——删除了采用不同专用杂凑函数的MDx-MAC算法的通用名称的列表；

——更改了修改常数和初始值的轮函数的说明，以明确表述；

——删除了MAC算法3的概述中关于效率的说明，以避免内容重复；

——更改了MAC算法1中的常数的计算为独立章节，以避免MAC算法3的描述中

需引用MAC算法1的描述的问题；

——删除了MAC算法4，以适应我国密码管理要求。

5

国家标准报批材料

主要编辑性改动如下：

——增加了本标准规定的MAC算法和采用的专用杂凑函数的说明；

——更改了章节“要求”的标题为“用户使用要求”；

——删除了ISO/IEC9797-2:2021的附录A“对象标识符”；

——删除了ISO/IEC9797-2:2021的附录B中关于MAC算法采用非我国标准规定

的专用杂凑算法时的说明；

——更改了附录“数值示例”的标题为“测试向量”；

——删除了ISO/IEC9797-2:2021的附录C中关于MAC算法4的说明。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

本文件代替GB/T15852.2-2012《信息技术安全技术消息鉴别码第2部

分：采用专用杂凑函数的机制》，与GB/T15852.2-2012相比，除结构调整和编

辑性改动外，主要技术变化如下：

a)删除了引言（2012年版的引言）；

b)增加了术语“熵”、“输入数据比特串”、“安全性强度”的定义，更

改了术语“杂凑函数”、“填充”、“初始值”、“轮函数”、“分组”、“字”

的定义，更改了术语“杂凑值”为“杂凑码”，删除了术语“抗碰撞杂

凑函数”、“消息比特串”的定义（见第3章，2012年版的第3章）；

c)删除了符号，更改了符号、、、、、、、、、

D'hK'K0K1K2KK1K2R

S0、S1、S2、T0、T1、T2、U0、U1、U2、'、K1[i]、H的定义，增加了

符号w、（见第4章,2012年版的第4章）；

d)更改了可选的杂凑函数的范围，并更改了算法描述中采用专用杂凑函数

的说明和常数的计算（见第5、6、7、8、9章，2012年版的第5、6、7、

8、9章）；

e)更改了章节“要求”的标题为“用户使用要求”（见第5章，2012年

版的第5章）；

f)增加了关于MAC值和输入数据串长度限制的说明（见第5章）；

g)增加了MAC算法的常用名称指代（见第6、7、8章）；

h)增加了MAC算法概述，增加了MAC算法密钥长度、输入数据比特串长度

的说明（见6.1、7.1、8.1）；

i)增加了MAC算法描述的概述和步骤标注（见6.2、7.2、8.2）；

6

国家标准报批材料

j)增加了采用SM3密码杂凑算法的MAC算法1和MAC算法3的描述和相应

的常数计算（见第6、7、8、9章）；删除了采用其他专用杂凑函数的描

述和相应的常数计算（见2012年版的第6、7、8、9章）

k)删除了MAC算法3的概述中关于效率的说明（见2012年版的第8章）；

l)更改了常数的计算中的叙述顺序（见9.1,2012年版的第9章）；

m)更改了附录“使用MAC算法生成MAC的示例”的标题为“测试向量”；

更改了采用的专用杂凑函数（见附录B，2012年版的附录A）；

n)更改了关于MAC算法2的安全证明的说明（见附录C，2012年版的附录

B）。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

对标准中的消息鉴别码算法及采用的专用杂凑函数完成分析评估，验证算法

的安全性，确认标准中规定的采用专用杂凑函数的消息鉴别码算法的安全性强度

满足预期，可满足应用实施需求。

在生成测试向量的过程中，严格按照标准文本中的算法描述，实现了GB/T

18238.3-XXXX、GB/T32905-2016中的SM3密码杂凑算法和ISO/IEC9797-2:2021

中的采用SM3的HMAC、MDx-MAC及其变种的代码，通过对比ISO/IEC9797-2:2021

中附录B的测试向量确保了该实现过程的正确性，多方验证以确保实现过程的正

确性。

3.2技术经济论证

本标准规定了采用专用杂凑函数的消息鉴别码和用户使用要求。针对消息传

输过程中可能存在的篡改、伪造等问题，这些消息鉴别码算法可用作数据完整性

检验，检验数据是否被非授权地改变，为消息的完整性与真实性保护提供具体的

算法支持。

3.3预期的经济效益、社会效益和生态效益

本标准中规定的消息鉴别码算法广泛适用于通信、金融等领域，用于保护数

据完整性或对访问的实体进行真实性鉴别。典型产品包括：SWIFT安全金融信息

服务、IPsec互联网安全协议、SSL/TLS协议。

7

国家标准报批材料

同时，本标准作为密码基础类标准，被多项信息安全方向的国家标准、行业

标准作为规范性引用文件。涉及领域包括实体鉴别、密码模块、报文鉴别、网上

银行密码技术应用等。

此外，本标准指导规范了消息鉴别码算法的应用机制，被国家密码管理局商

用密码检测中心采用，规范相关密码产品。同时，本标准被商用密码应用安全性

评估机构采纳使用，规范访问控制、数据安全等领域的消息鉴别码算法应用。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

本标准与ISO/IEC9797-2:2021的主要技术差异在于将MAC算法采用的专用

杂凑函数引用标准ISO/IEC10118-3:2018替换为国家标准GB/T18238.3-XXXX，

更改了专用杂凑函数的可选范围，根据专用杂凑函数的特点保留了HMAC、

MDx-MAC及其变种，而未收录KMAC。

表1采标技术内容对比

MAC算法杂凑函数及引用文件

标准名称常用名称GB/T15852.2ISO/IEC9797-2:2021

MAC算法1MDx-MACSM3:GB/T18238.31-6,8,17:ISO10118-3

MAC算法2HMACSM3:GB/T18238.31-8,11-17:ISO10118-3

MAC算法3MDx-MAC的变种SM3:GB/T18238.31-6,8,17:ISO10118-3

MAC算法4KMAC——13-16:ISO10118-3

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

本标准以ISO/IEC9797-2:2021为基础，依据我国密码管理要求限定可选专

用杂凑函数，删除不属于我国标准算法的或安全性存在威胁的专用杂凑函数；结

合SM3的特征筛选保留HMAC、MDx-MAC及其短消息变种。本标准基于国际标准

ISO/IEC9797-2:2021制定并进行适应性修改，符合采标规范。

ISO/IEC9797-2:2021中采用的RIPEMD-128、SHA-1等杂凑函数的安全性存

在威胁，已被国家密码管理局发布风险提示；SHA2、WHIRLPOOL、STREEBOG、SHA3

系列等不属于我国标准规定的杂凑函数。消息鉴别码算法KMAC针对SHA3系列算

法设计，不适用于SM3密码杂凑函数。综合以上原因，本标准对ISO/IEC

8

国家标准报批材料

9797-2:2021中的消息鉴别码算法及采用的专用杂凑函数进行了筛选，并在此基

础上对标准文本等进行更改调整。

六、与有关