GB/T 28455-2026网络安全技术引入可信第三方的实体鉴别及接入架构规范

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T28455—2026

代替GB/T28455—2012

网络安全技术引入可信第三方的实体

鉴别及接入架构规范

Cybersecuritytechnology—Entityauthenticationinvolvingatrusted

thirdpartyandaccessarchitecturespecification

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28455—2026

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

符号和缩略语

4……………3

符号

4.1…………………3

缩略语

4.2………………4

总体架构

5…………………5

通则

5.1…………………5

访问控制要求

5.2………………………6

系统角色和端口技术要求

5.3…………6

端口访问实体

5.4………………………9

中端口访问控制要求

5.5LAN………………………12

封装要求

6TAEP………………………12

概述

6.1…………………12

分组格式

6.2TAEP……………………12

分组字段各个域定义

6.3TAEP………………………13

链路上的封装要求

7TAEP……………17

概述

7.1…………………17

八位位组的发送和标识

7.2……………18

在逻辑链路控制中的格式

7.3TAEPoLMPDUGB/T15629.2—2008…………18

在中的格式

7.4TAEPoLMPDUGB/T15629.3—2014…………18

标签

7.5TAEPoLMPDU……………19

的格式

7.6TAEPoLPDU……………19

和协议格式接收处理技术要求

7.7TAEPoLPDUTAEPoL………23

原子密钥建立与实体鉴别技术要求

8……………………23

通则

8.1…………………23

服务

8.2AKEA………………………24

密码算法要求

8.3AKEA……………24

协议字段

8.4AKEA…………………24

协议

8.5AKEA-C………………………25

协议

8.6AKEA-P………………………30

Ⅰ

GB/T28455—2026

协议

8.7AKEA-L………………………32

测试评价方法

9……………34

总体架构测评方法

9.1…………………34

封装测评方法

9.2TAEP………………35

链路上的封装测评方法

9.3TAEP…………………35

密码算法测评方法

9.4…………………36

原子密钥建立与实体鉴别测评方法

9.5………………36

附录规范性密钥产生

A()………………38

概述

A.1………………38

基于的密钥建立层次

A.2BK…………38

基于的密钥建立层次

A.3PSK………………………40

密钥名称

A.4…………………………42

参考文献

……………………43

Ⅱ

GB/T28455—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术引入可信第三方的实体鉴别及接入架构规范

GB/T28455—2012《》,

与相比除结构调整和编辑性改动外主要技术变化如下

GB/T28455—2012,,:

增加了术语非对称密码算法可信第三方散列函数杂凑函数数字签名签名原子密

a)“”“”“/”“/”“

钥建立与实体鉴别见第章

”(3);

增加了符号见

b)(4.1);

删除了缩略语

c)“ASF”“CBAP”“CHAP”“CMAP”“DHCP”“FDDI”“IBAP”“TP”“Port”“PCAP”

见年版的第章

“OUI”“VLAN”(20124);

增加了缩略语

d)“BK”“DCK”“DRK”“EEP”“EIAK”“EKey”“EMK”“IAK”“IVK”“KDF”

见

“MAK”“MEK”“MIK”“PK”“PRF”“PSK”“SPK”(4.2);

增加了对协议封装的扩展见

e)TAEP(6.3.1、6.3.2);

删除了对等鉴别访问控制协议端口接入控制管理端口接入控制定义三章见年

f)“”“”“MIB”(2012

版的第章第章第章

7、8、9);

增加了原子密钥建立与实体鉴别技术要求一章见第章

g)“”(8);

增加了测试评价方法一章见第章

h)“”(9);

增加了附录密钥产生见附录

i)“”(A);

删除了附录形式表见年版的附录

j)“PICS”(2012A)。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位西安西电捷通无线网络通信股份有限公司北京数字认证股份有限公司国家信

:、、

息技术安全研究中心陕西省信息化工程研究院北京时代新威信息技术有限公司湖北省数字证书认

、、、

证管理中心有限公司中国科学院信息工程研究所中电信量子信息科技集团有限公司联通在线信息

、、、

科技有限公司长扬科技北京股份有限公司国家无线电监测中心检测中心浙江齐安信息科技有限

、()、、

公司中关村无线网络安全产业联盟中国南方电力调度控制中心中国电力科学研究院有限公司天翼

、、、、

安全科技有限公司大唐高鸿信安浙江信息科技有限公司国网山东省电力公司广西通量能源技术

、()、、

有限公司西安芯语慧联信息科技有限公司深圳鑫润星智能有限公司兴唐通信科技有限公司华为技

、、、、

术有限公司微位深圳网络科技有限公司中汽研软件测评天津有限公司用友网络科技股份有限

、()、()、

公司

。

本文件主要起草人李琴王月辉杜志强张国强张变玲黄振海侯鹏亮赵晓荣徐震张璐璐

:、、、、、、、、、、

隋忻铁满霞曹军杜云浩陈诚刘勇程福兴颜湘芦亮井经涛郑骊王立华尹玉昂于双双

、、、、、、、、、、、、、、

赵华张宙谢俊毅陈宝仁肖红阳程武阳孙晓童蔡子凡贾世杰赖晓龙陈维刚马丹丹肖龙

、、、、、、、、、、、、、

管荑苑超童伟刚潘文博王浩王云飞张明远季晨荷刘海洁张勇梁浩军鲍博武李子阳梁斌

、、、、、、、、、、、、、、

孙梁季晟宇周晓刚高鹏侯昕田

、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2012GB/T28455—2012;

本次为第一次修订

———。

Ⅲ

GB/T28455—2026

引言

网络通信中经常会出现非授权或者非预期的访问包括未授权的终端设备物理连接到网络上授

,,、

权的终端设备所连接的网络不是它所期望的等各种情况因此在终端和网络通信前需要通过鉴别和

。,

授权功能互相鉴别对方身份的合法性并进行访问控制以保证通信的安全安全的网络应受到保护免

,。,

遭恶意和无意的攻击并且应满足业务对信息和服务的保密性完整性可用性抗抵赖可核查性真实

,、、、、、

性和可靠性的要求

。

本文件的主要目标是提出一套适用于网络访问控制和身份管理的支撑上层业务的具有普遍适用

,,

性的实体鉴别与安全接入协议和结构本文件将采用密码技术并引入在线的可信第三方构建鉴别协

。,

议并定义网络安全接入架构

,。

本文件主要内容是

:

引入可信第三方的实体鉴别及接入架构采用三元结构将参加鉴别和授权的实体置于对等的

———,

角色利用逻辑的端口控制方法完成双方的鉴别和授权

,;

本文件确定的访问控制方法可应用于无线网络访问控制有线网络访问控制以及自适应移

———、IP

动访问控制系统等

。

本文件的发布机构提请注意声明符合本文件时可能涉及到与一种三元结构的对等访问控

,,5.4“

制系统一种三元结构的对等访问控制方法第章与一种身份鉴别方法和装置等相关的专利的

”“”,8“”

使用

。

本文件的发布机构对于该专利的真实性有效性和范围无任何立场

、。

该专利持有人已向本文件的发布机构承诺他愿意同任何申请人在合理且无歧视的条款和条件下

,,

就专利授权许可进行谈判该专利持有人的声明已在本文件发布机构备案相关信息可以通过以下联

。。

系方式获得

:

专利持有人姓名西安西电捷通无线网络通信股份有限公司

:

地址西安市高新区科技二路号西安软件园秦风阁

:68A201

请注意除了上述专利外本文件的某些内容仍可能涉及专利本文件的发布机构不承担识别专利

,。

的责任

。

Ⅳ

GB/T28455—2026

网络安全技术引入可信第三方的实体

鉴别及接入架构规范

1范围

本文件确立了引入可信第三方的实体鉴别及接入总体架构规定了协议封装要求原子密钥建立与

,、

实体鉴别技术要求描述了对应的测评方法

,。

本文件适用于无线网络有线网络的数据链路层以及网络层的访问控制系统设计开发测试等

、,、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术系统间远程通信和信息交换局域网和城域网特定要

GB/T15629.2—2008

求第部分逻辑链路控制

2:

信息技术系统间远程通信和信息交换局域网和城域网特定要

GB/T15629.3—2014

求第部分带碰撞检测的载波侦听多址访问的访问方法和物理层规范

3:(CSMA/CD)

信息技术系统间远程通信和信息交换局域网和城域网特定要求第部

GB15629.1111

分无线局域网媒体访问控制和物理层规范

:

信息技术系统间远程通信和信息交换局域网和城域网特定要求第

GB/T15629.15—2010

部分低速无线个域网媒体访问控制和物理层规范

15:(WPAN)

信息技术安全技术实体鉴别第部分采用数字签名技术的机制

GB/T15843.3—20233:

网络安全技术消息鉴别码第部分采用专门设计的杂凑函数的机制

GB/T15852.2—20