《信息安全法律法规》课程教学资源（参考资料）信息安全国家标准目录（2017版）

本标准规定了使用虹膜识别技术进行身份鉴别的虹膜识别 系统的功能与性能要素，并依据GB178591999安全保护等 信息安全技术虹膜 级划分的思想，提出了虹膜识别系统对应的三个等级的技术 40. GB/T20979-2007 2007-06-18 2007-11-01 识别系统技术要求 要求。本标准适用于按信息安全等级保护的要求所进行的虹 膜识别系统的设计与实现，对虹膜识别系统的测试、管理也 可参照使用。 本标准规定了引入可信第三方的实体鉴别及接入架构的一 般方法。包括：)引入可信第三方的实体鉴别及接入架构的 框架：b)引入可信第三方的实体鉴别及接入架构的基本原 理：c)定义引入可信第三方的实体鉴别及接入架构的不同级 别以及相应收发数据时的端口的行为：d)定义引入可信第三 信息安全技术引入 方的实体鉴别及接入架构的参与实体间的消息交互协议：©) 41. GB/T28455-2012 可信第三方的实体鉴 2012-06-29 2012.10-01 定义使用消息交互协议完成引入可信第三方的实体鉴别及 别及接入架构规范 接入架构的过程：)规定协议交互消息中的数据编码：g)建 立引入可信第三方的实体鉴别及接入架构管理的需求，识别 管理对象，定义管理操作：)描述远程管理者利用简单网络 管理协议(SNMP)所能进行的管理操作：)描述符合本文 件的设备应满足的需求，见附录A。本标准适用于无线网络 访问控制、有线网络访问控制和P网络访问控制系统等。 信息技术安全技术 ISO/IEC 本部分规定了用于证实一个实体的合法性的匿名实体鉴别 42. GB/T34953.1-2017 匿名实体鉴别第1部 2017-11-01 2018-05-01 20009-1:2013 机制的模型、需求和约束条件。 分：总则 4、验证与证明 序号 标准编号 标准名称 对应国际标准 发布日期 实施日期 范围 11

11 40. GB/T 20979-2007 信息安全技术 虹膜 识别系统技术要求 2007-06-18 2007-11-01 本标准规定了使用虹膜识别技术进行身份鉴别的虹膜识别 系统的功能与性能要素，并依据GB 17859-1999安全保护等 级划分的思想，提出了虹膜识别系统对应的三个等级的技术 要求。本标准适用于按信息安全等级保护的要求所进行的虹 膜识别系统的设计与实现，对虹膜识别系统的测试、管理也 可参照使用。 41. GB/T 28455-2012 信息安全技术 引入 可信第三方的实体鉴 别及接入架构规范 2012-06-29 2012-10-01 本标准规定了引入可信第三方的实体鉴别及接入架构的一 般方法。包括：a) 引入可信第三方的实体鉴别及接入架构的 框架；b) 引入可信第三方的实体鉴别及接入架构的基本原 理；c) 定义引入可信第三方的实体鉴别及接入架构的不同级 别以及相应收发数据时的端口的行为；d) 定义引入可信第三 方的实体鉴别及接入架构的参与实体间的消息交互协议；e) 定义使用消息交互协议完成引入可信第三方的实体鉴别及 接入架构的过程；f) 规定协议交互消息中的数据编码；g) 建 立引入可信第三方的实体鉴别及接入架构管理的需求，识别 管理对象，定义管理操作；h) 描述远程管理者利用简单网络 管理协议（SNMP）所能进行的管理操作；i) 描述符合本文 件的设备应满足的需求，见附录A。本标准适用于无线网络 访问控制、有线网络访问控制和IP网络访问控制系统等。 42. GB/T 34953.1-2017 信息技术 安全技术 匿名实体鉴别 第1部 分：总则 ISO/IEC 20009-1:2013 2017-11-01 2018-05-01 本部分规定了用于证实一个实体的合法性的匿名实体鉴别 机制的模型、需求和约束条件。 4、验证与证明 序号 标准编号 标准名称 对应国际标准 发布日期 实施日期 范围

本标准规定了对有限长消息使用公开密钥体制的带消息恢 复的数字签名方案。这种数字签名方案包含下列两个进程： 签名进程，它使用秘密签名密钥和签名函数来对消息签 名；一验证进程，它使用公开验证密钥和验证函数来验证签 名，同时恢复出消息。签名进程中，必要时，欲签名的消息 需填充和扩展，然后加上与消息本身有关的人为的冗余，对 信息技术安全技术 消息中是否存在自然的冗余不作假定这人为的冗余将由验 43. GB/T15851.1995 带消息恢复的数字签 IS0/1EC9796:1991 1995-12.13 1996-08-01 证进程揭示出来，把这人为的冗余去掉便恢复出消息。本标 名方案 准不规定密钥产生进程、签名函数和验证函数。附录A(提示 的附录)给出了一个公开密钥体制的例子，包含密钥产生、签 名函数和验证函数。附录B(提示的附录)通过例子来说明这些 操作的各步。这个方案中的若干参数与安全性有关：本标准不 规定为要达到给定的安全性水平而对这些参数应取什么值。 然而以这祥一种方式规定，即在本标准使用中，如果这些参 数中有的必须要改变时，使所作的改变最小。 本部分描述了带附录的数字签名的基本原则和要求以及该 系列标准通用的定义和符号。它适用于带附录的数字签名方 案。本标准适用于提供实体鉴别、数据原发鉴别、数据完整 性和抗抵赖的方案。本部分所规定的机制是基于非对称密码 技术，所有非对称数字签名机制都涉及密钥对产生、密钥签 信息技术安全技术 名和验证密钥三个基本操作（进程）。标准给出了数字签名 ISO/IEC 44. GBT17902.1-1999 带附录的数字签名 1999.11-01 2000-05-01 机制的一般模型，并对三个进程进行了详细规定，其中，密 第1部分：概述 14888-1:1998 钥产生进程由产生域参数与产生签名密钥和验证密钥组成： 对签名进程规定了数据项和验证过程，这些验证过程包括产 生预签名、准备消息、计算证据、计算签名：对验证进程规 定了数据项和验证过程，这些验证过程包括准备消息、检索 证据、计算验证函数、验证证据：还规定了带两部分签名的 随机化机制。 12

12 43. GB/T 15851-1995 信息技术 安全技术 带消息恢复的数字签 名方案 ISO/IEC 9796:1991 1995-12-13 1996-08-01 本标准规定了对有限长消息使用公开密钥体制的带消息恢 复的数字签名方案。这种数字签名方案包含下列两个进程:— 签名进程，它使用秘密签名密钥和签名函数来对消息签 名; —验证进程，它使用公开验证密钥和验证函数来验证签 名，同时恢复出消息。签名进程中，必要时，欲签名的消息 需填充和扩展，然后加上与消息本身有关的人为的冗余，对 消息中是否存在自然的冗余不作假定这人为的冗余将由验 证进程揭示出来，把这人为的冗余去掉便恢复出消息。本标 准不规定密钥产生进程、签名函数和验证函数。附录A(提示 的附录)给出了一个公开密钥体制的例子，包含密钥产生、签 名函数和验证函数。附录B(提示的附录)通过例子来说明这些 操作的各步。这个方案中的若干参数与安全性有关:本标准不 规定为要达到给定的安全性水平而对这些参数应取什么值。 然而以这祥一种方式规定，即在本标准使用中，如果这些参 数中有的必须要改变时，使所作的改变最小。 44. GB/T 17902.1-1999 信息技术 安全技术 带附录 的数字签 名 第1部分：概述 ISO/IEC 14888-1:1998 1999-11-01 2000-05-01 本部分描述了带附录的数字签名的基本原则和要求以及该 系列标准通用的定义和符号。它适用于带附录的数字签名方 案。本标准适用于提供实体鉴别、数据原发鉴别、数据完整 性和抗抵赖的方案。本部分所规定的机制是基于非对称密码 技术，所有非对称数字签名机制都涉及密钥对产生、密钥签 名和验证密钥三个基本操作（进程）。标准给出了数字签名 机制的一般模型，并对三个进程进行了详细规定，其中，密 钥产生进程由产生域参数与产生签名密钥和验证密钥组成； 对签名进程规定了数据项和验证过程，这些验证过程包括产 生预签名、准备消息、计算证据、计算签名；对验证进程规 定了数据项和验证过程，这些验证过程包括准备消息、检索 证据、计算验证函数、验证证据；还规定了带两部分签名的 随机化机制

信息技术安全技术 带附录的数字签名 ISO/IEC 本部分规定了任意长度消息的带附录的基于身份的数字签 GB/T17902.2.-2005 2005-04-19 第2部分：基于身份的 2005-10-01 14888-2:1999 名机制的签名和验证过程的总的结构和基本过程。 机制 本部分规定了带附录的基于证书的数字签名机制。本部分提 信息技术安全技术 供了：1)基于证书的签名机制的一般描述，其安全性是基 带附录的数字签名 ISO/IEC 于所用交换群上的离散对数问题的困难性。2)基于证书的 46. GB/T17902.3-2005 2005-04-19 2005-10-01 第3部分：基于证书的 14888-3:1998 签名机制的一般描述，其安全机制是基于因子分解的困难 机制 性。3)使用任意长度消息的基于证书机制的带附录的各种 常规数字签名机制。 信息技术安全技术 本部分描述了基于密码技术提供证据的抗抵赖机制的一种 47. ISO/IEC GB/T17903.1-2008 抗抵赖第1部分：概 2008-06-26 2008-11-01 模型，并且描述了如何使用对称或非对称密码技术生成密码 述 13888-1:2004 校验值并以此形成证据。 本部分描述了可用于抗抵赖服务的通用结构，以及能用来提 信息技术安全技术 ISO/IEC 供原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖(NRS) 48. GB/T17903.2.2008 抗抵赖第2部分：使 2008-06-26 2008-11-01 和传输抗抵赖(NRT)等有关的特殊通信机制。其他抗抵赖服 13888-2:1998 用对称技术的机制 务可用第8章所描述的通用结构组成，以满足安全策略的要 求。 本部分规定了使用非对称技术提供与通信有关的特殊抗抵 信息技术安全技术 赖服务的机制。抗抵赖机制可以提供以下四种抗抵赖服务： ISO/IEC a)原发抗抵赖：b)交付抗抵赖：c)提交抗抵赖：d)传输抗抵赖。 49. GBT17903.3-2008 抗抵赖第3部分：采 2008-07-02 2008-12-01 13888-3:1998 抗抵赖机制涉及专用于每种抗抵赖服务的抗抵赖权标交换。 用非对称技术的机制 抗抵赖权标由数字签名和附加数据组成。抗抵赖权标可做为 抗抵赖信息子以存储，发生争议是由争议双方顺序使用。 13

13 45. GB/T 17902.2-2005 信息技术 安全技术 带附录 的数字签 名 第2部分：基于身份的 机制 ISO/IEC 14888-2:1999 2005-04-19 2005-10-01 本部分规定了任意长度消息的带附录的基于身份的数字签 名机制的签名和验证过程的总的结构和基本过程。 46. GB/T 17902.3-2005 信息技术 安全技术 带附录 的数字签 名 第3部分：基于证书的 机制 ISO/IEC 14888-3:1998 2005-04-19 2005-10-01 本部分规定了带附录的基于证书的数字签名机制。本部分提 供了：1）基于证书的签名机制的一般描述，其安全性是基 于所用交换群上的离散对数问题的困难性。2）基于证书的 签名机制的一般描述，其安全机制是基于因子分解的困难 性。3）使用任意长度消息的基于证书机制的带附录的各种 常规数字签名机制。 47. GB/T 17903.1-2008 信息技术 安全技术 抗抵赖 第1部分：概 述 ISO/IEC 13888-1:2004 2008-06-26 2008-11-01 本部分描述了基于密码技术提供证据的抗抵赖机制的一种 模型，并且描述了如何使用对称或非对称密码技术生成密码 校验值并以此形成证据。 48. GB/T 17903.2-2008 信息技术 安全技术 抗抵赖 第2部分：使 用对称技术的机制 ISO/IEC 13888-2:1998 2008-06-26 2008-11-01 本部分描述了可用于抗抵赖服务的通用结构，以及能用来提 供原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖(NRS) 和传输抗抵赖(NRT)等有关的特殊通信机制。其他抗抵赖服 务可用第8章所描述的通用结构组成，以满足安全策略的要 求。 49. GB/T 17903.3-2008 信息技术 安全技术 抗抵赖 第3部分：采 用非对称技术的机制 ISO/IEC 13888-3:1998 2008-07-02 2008-12-01 本部分规定了使用非对称技术提供与通信有关的特殊抗抵 赖服务的机制。抗抵赖机制可以提供以下四种抗抵赖服务： a)原发抗抵赖；b)交付抗抵赖；c)提交抗抵赖；d)传输抗抵赖。 抗抵赖机制涉及专用于每种抗抵赖服务的抗抵赖权标交换。 抗抵赖权标由数字签名和附加数据组成。抗抵赖权标可做为 抗抵赖信息予以存储，发生争议是由争议双方顺序使用

本标准规定了一种无需请求证书撤销列表(CRL)即可查询 数字证书状态的机制（即在线证书状态协议OCSP)。该机 制可代替CRL或作为周期性检查CRL的一种补充方式，以便 及时获得证书撤销状态的有关信息。本标准主要描述了以下 信息技术安全技术 内容：a)具体描述了在线证书状态协议的请求形式：b)具 50. GB/T19713-2005 公钥基础设施在线 IETF RFC 2560 2005-04-19 2005-10-01 体描述了在线证书状态协议的响应形式：c)分析了处理在线 证书状态协议 证书状态协议响应时可能出现的各种异常情况：d)说明了 在线证书状态协议基于超文本传输协议(HTTP)的应用方 式：e)提供了采用抽象语法记法1(ASNI)描述的在线证 书状态协议。 本标准描述了公钥基础设施(PK)中的证书管理协议，定义了 与证书产生和管理相关的各方面所需要的协议消息，这些消 信息技术安全技术 息主要包括申请证书、撤销证书、密钥更新、密钥恢复、交 51. GB/T19714.2005 公钥基础设施证书 IETF RFC 2510 2005-04-09 2005-10-01 叉认证等。本标准主要适用于在安全或不安全环境中实施 管理协议 PKI组件并实施管理，可作为PKI运营机构、PKI组件开发者 的参考指南。 本标准规定了中国数字证书的基本结构，并对数字证书中的 各数据项内容进行了描述：规定了一些标准的证书扩展域， 并对每个扩展域的结构进行了定义，特别是增加了一些专门 面向国内应用的扩充项。本标准详细规定了数字证书的各种 信息安全技术公钥 格式，包括基本证书域的数据结构、TBSCertificate及其数据 52. GBT20518-2006 基础设施数字证书 2006-08.30 2007-02-01 结构、各种证书扩展域及其数据结构：数字证书可支持的密 格式 码算法。标准以附录的形式给出了各种证书的结构、证书的 结构实例、数字证书编码举例，以及算法举例。本标准适用 于国内数字证书认证机构、数字证书认证系统的开发商以及 基于数字证书的安全应用开发商。本标准主要根据ETF(互 联网工程任务组)RFC2459文件，并结合我国情祝制定的。 4

14 50. GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线 证书状态协议 IETF RFC 2560 2005-04-19 2005-10-01 本标准规定了一种无需请求证书撤销列表（CRL）即可查询 数字证书状态的机制（即在线证书状态协议--OCSP）。该机 制可代替CRL或作为周期性检查 CRL的一种补充方式，以便 及时获得证书撤销状态的有关信息。本标准主要描述了以下 内容：a）具体描述了在线证书状态协议的请求形式；b）具 体描述了在线证书状态协议的响应形式；c）分析了处理在线 证书状态协议响应时可能出现的各种异常情况；d）说明了 在线证书状态协议基于超文本传输协议（HTTP）的应用方 式；e）提供了采用抽象语法记法1（ASN.1）描述的在线证 书状态协议。 51. GB/T 19714-2005 信息技术 安全技术 公钥基础设施 证书 管理协议 IETF RFC 2510 2005-04-09 2005-10-01 本标准描述了公钥基础设施(PKI)中的证书管理协议，定义了 与证书产生和管理相关的各方面所需要的协议消息，这些消 息主要包括申请证书、撤销证书、密钥更新、密钥恢复、交 叉认证等。本标准主要适用于在安全或不安全环境中实施 PKI组件并实施管理，可作为PKI运营机构、PKI组件开发者 的参考指南。 52. GB/T 20518-2006 信息安全技术 公钥 基础设施 数字证书 格式 2006-08-30 2007-02-01 本标准规定了中国数字证书的基本结构，并对数字证书中的 各数据项内容进行了描述；规定了一些标准的证书扩展域， 并对每个扩展域的结构进行了定义，特别是增加了一些专门 面向国内应用的扩充项。本标准详细规定了数字证书的各种 格式，包括基本证书域的数据结构、TBSCertificate及其数据 结构、各种证书扩展域及其数据结构；数字证书可支持的密 码算法。标准以附录的形式给出了各种证书的结构、证书的 结构实例、数字证书编码举例，以及算法举例。本标准适用 于国内数字证书认证机构、数字证书认证系统的开发商以及 基于数字证书的安全应用开发商。本标准主要根据IETF（互 联网工程任务组）RFC 2459文件，并结合我国情况制定的

本标准规定了时间戳系统部件的组成、时间戳的管理、时间 藏的格式和时间戳系统安全管理等方面的要求。本标准还 详细规定了时间戳的产生和颁发，包括时间戳申请和颁发的 信息安全技术公钥 方式和过程、产生方法：时间戳管理包括时间戳的保存、备 53. GB/T20520-2006 基础设施时间戳规 2006-08.30 2007-02-01 份、检索、删除和销毁、查看和验证：时间戳的格式包括对 范 时间戳机构的要求、密钥标识、时间的表示格式、申请和响 应消息格式等：时间戳系统的安全包括物理安全和软件安 全。本标准适用于时间戳系统的设计和实现，时间戳系统 的测试和采购亦可参考使用。 本标准参照GB178591999《计算机信息系统安全保护等级划 分准则》的五个安全保护等级的划分，对PKI系统安全保护 进行等级划分，规定了不同等级PKI系统所需要满足的评估 内容。本标准详细规定了PKI系统第一、二、三、四、五级 信息安全技术公钥 的安全保护技术要求，包括上述各级的物理安全、角色与责 基础设施PKI系统 任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮 54. GB/T21053-2007 2007-08-23 2008-01-01 安全等级保护技术要 廓管理、证书管理、配置管理、分发和操作、开发、指导性 求 文档、生命周期支持、测试，以及审计、备份与恢复、脆弱 性评定。标准以附录的形式给出了PKI系统安全要素各个要 求级别的划分。本标准适用于PKI的安全保护等级的评估， 对于PKI系统安全功能的研制、开发、测试和产品采购亦可 参照使用。 15

15 53. GB/T 20520-2006 信息安全技术 公钥 基础设施 时间戳规 范 2006-08-30 2007-02-01 本标准规定了时间戳系统部件的组成、时间戳的管理、时间 戳的格式和时间戳系统安全管理等方面的要求。 本标准还 详细规定了时间戳的产生和颁发，包括时间戳申请和颁发的 方式和过程、产生方法；时间戳管理包括时间戳的保存、备 份、检索、删除和销毁、查看和验证；时间戳的格式包括对 时间戳机构的要求、密钥标识、时间的表示格式、申请和响 应消息格式等；时间戳系统的安全包括物理安全和软件安 全。 本标准适用于时间戳系统的设计和实现，时间戳系统 的测试和采购亦可参考使用。 54. GB/T 21053-2007 信息安全技术 公钥 基础设施 PKI系统 安全等级保护技术要 求 2007-08-23 2008-01-01 本标准参照GB17859-1999《计算机信息系统安全保护等级划 分准则》的五个安全保护等级的划分，对PKI系统安全保护 进行等级划分，规定了不同等级PKI系统所需要满足的评估 内容。本标准详细规定了PKI系统第一、二、三、四、五级 的安全保护技术要求，包括上述各级的物理安全、角色与责 任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮 廓管理、证书管理、配置管理、分发和操作、开发、指导性 文档、生命周期支持、测试，以及审计、备份与恢复、脆弱 性评定。标准以附录的形式给出了PKI系统安全要素各个要 求级别的划分。本标准适用于PKI的安全保护等级的评估， 对于PKI系统安全功能的研制、开发、测试和产品采购亦可 参照使用