核心观点摘要
本报告针对国家标准 GB/T 17903.1-2024《网络安全技术 抗抵赖 第 1 部分:概述》展开系统研究,覆盖技术适配的市场趋势与产业政策、编制背景、应用范围、技术迭代路径,以及整个 GB/T 17903 系列标准的构成与核心作用等维度。研究表明:
趋势与政策适配性:该标准的修订发布,精准契合数字经济时代数据要素市场化的发展大势,以及《网络安全法》《数据安全法》《网络数据安全管理条例》对数据处理活动可审计、可追溯的合规强制要求,为数据流通场景下的权责界定提供了关键技术支撑。 编制背景与适用范围:作为对 2008 年旧版标准的首次修订,该标准由全国网络安全标准化技术委员会(TC260)牵头,中科院软件所等头部专业机构共同起草,修改采用国际标准 ISO/IEC 13888-1:2020,为国内各类信息系统的抗抵赖应用提供了统一的技术规范框架。 技术演化特征:从 1999 年首版、2008 年第一次修订到 2024 年第二次修订,该标准随国内密码技术应用和合规需求的持续发展,完成了从 “等同采用国际标准” 到 “结合国内实际场景修改采用” 的本土化技术调整;2024 年版更是在杂凑函数要求、术语体系、结构逻辑等方面实现了技术优化,更贴合国内产业实际,提升了与国内现行相关标准的衔接性。 系列标准协同性:GB/T 17903 系列标准由 3 个部分共同构成完整技术体系,第 1 部分作为概述篇,为第 2 部分(对称密码技术机制)和第 3 部分(非对称密码技术机制)提供统一的通用技术模型;三个部分各司其职、协同支撑,可覆盖不同场景下的抗抵赖需求,为数据全生命周期的抗抵赖保护提供了闭环技术支撑。
1. 引言
抗抵赖是网络安全的核心基础能力之一,其核心价值在于记录、追溯并验证数字交易或数据交互的完整生命周期,有效解决原发行为否认、接收行为否认、传输行为否认等各类相关争议。在数字经济向产业化、规模化发展的关键阶段,数据要素的流通、交易与共享,对技术层面的证据生成、传输存储、验证调用全流程的标准化管控提出了刚性要求;同时《网络安全法》《数据安全法》等监管法规的落地执行,也要求数据处理活动必须具备可审计、可追溯的技术支撑能力。
作为定义国内抗抵赖技术基础框架的核心国家标准,GB/T 17903.1-2024 的修订发布,是网络安全领域适配产业发展与合规需求的重要标志。该标准不仅为后续具体抗抵赖技术机制的标准制定提供了统一的技术模型,更直接支撑了政务、金融、医疗、电子商务等对数据安全要求极高的行业的数字化合规建设。对于科研机构、行业用户等各类主体而言,要理解、应用乃至完善国内的抗抵赖技术体系,必须先掌握该标准的核心技术逻辑与顶层应用价值。
基于此,本报告以 GB/T 17903.1-2024 的核心技术内容为基础,从市场政策适配、编制背景、技术演化路径、系列标准协同关系四大维度展开系统拆解,试图还原国内抗抵赖技术体系的标准化建设逻辑,为相关领域的学术研究与产业落地提供扎实的参考依据。
2. 标准技术适应的市场趋势和产业政策
任何技术标准的制定与发布,都不是单纯技术迭代的结果,而是产业市场发展趋势、国家顶层产业政策导向与技术自身演进规律共同作用的产物。GB/T 17903.1-2024 的技术内容设计,精准匹配了当前数字经济发展阶段下的行业合规需求与市场技术痛点。
2.1 产业政策背景与合规驱动性
我国网络安全与数据安全领域的顶层法律法规建设,是支撑该标准修订、发布的核心政策逻辑,也明确了抗抵赖技术在整个网络安全防护体系中的基础性定位。
从国家顶层法律层面看,《中华人民共和国网络安全法》的第二章,专门提出了要建立完善网络安全国家标准体系,鼓励产学研各方主体参与标准制定,为网络安全领域的标准化工作提供了顶层法律依据;《中华人民共和国数据安全法》则进一步在数据安全标准体系建设、安全技术应用推广等维度做出了明确规定 —— 抗抵赖技术作为保障数据行为不可否认的关键支撑,正是落实这些法律要求的重要技术基础设施。2024 年 9 月新发布的《网络数据安全管理条例》,对数据处理活动的全生命周期合规性做出了更细化的监管规定,而抗抵赖技术提供的全程不可否认、可追溯的技术能力,正是满足这一合规要求的必备支撑条件。
从标准体系的顶层设计维度看,GB/T 17903.1-2024 是我国网络安全标准体系的重要基础标准,其修订发布完全贴合国家网络安全标准体系建设的顶层规划。该标准由全国网络安全标准化技术委员会(TC260)归口制定,而 TC260 是国内负责全国网络安全领域标准化工作的唯一权威技术组织;这种专业化的归口管理模式,也充分体现了抗抵赖技术标准在整个国家网络安全标准化工作中的基础性定位。
2.2 市场发展趋势与技术适配性
数字经济时代的行业发展与市场需求变化,是驱动该标准技术修订的核心产业逻辑。该标准的技术设计,精准适配了数据要素市场化、行业数字化转型等核心市场趋势下的 actual 技术需求。
2.2.1 数据要素市场化与合规监管的双重驱动
在数字经济发展的关键阶段,数据要素的市场化流通、交易与共享,成为行业发展的核心趋势,而这一趋势对技术层面的 “不可否认性” 提出了明确的刚性需求 —— 无论是政务场景下的跨部门数据共享、金融行业中的大额资金跨境交易,还是医疗场景下的患者隐私数据调取,都需要技术手段来完整记录数据交互过程,对操作行为进行不可否认性的验证,以解决交易或交互行为的责任界定问题。
与此同时,《网络数据安全管理条例》等监管法规的正式落地,对数据处理活动的可审计性、可追溯性提出了明确的强制合规要求。此前行业内部分数据安全防护方案,在抗抵赖环节缺乏统一的技术标准支撑,难以满足监管的合规性要求;而 GB/T 17903.1-2024 所提供的抗抵赖技术框架,恰好能为这些行业的数字化业务提供从证据生成、传输存储到验证调用的全生命周期不可否认性支撑,成为行业发展中兼顾业务发展与合规要求的重要技术基础。
2.2.2 技术应用场景的商业化落地需求
从具体行业应用维度看,各行业数字化业务的深入推进,进一步放大了标准化抗抵赖技术方案的市场需求。以电子签章、电子合同为代表的数字签名技术市场,其近几年的快速发展,背后其实是行业对抗抵赖技术能力的潜在需求 —— 根据行业报告的预测,国内电子签章市场规模在 2026 年有望突破 150 亿元,且将继续保持高速增长态势;而支撑这类业务安全合规的核心底层技术,正是抗抵赖技术,这也意味着行业对标准化抗抵赖技术方案的需求将持续释放。
除了电子签章这类成熟的单一业务场景外,随着行业数字化转型的持续推进,抗抵赖技术的应用场景也在不断延伸,从过去单一的金融交易、政务办公场景,扩展到了数据交易、电子司法、医疗数据共享、工业互联网设备身份认证等多个新兴场景。不同场景对抗抵赖技术的实现细节、安全强度、可信第三方依赖程度的差异化技术需求,都需要一个统一的基础技术框架来支撑和规范 —— 这正是 GB/T 17903.1-2024 作为基础标准的核心技术价值,它能为不同行业场景下的技术方案设计、产品研发测试提供统一的技术依据。
2.2.3 技术体系化与互联互通的发展需求
从技术产业发展的维度看,国内此前的抗抵赖技术相关产品与行业方案,大多是各厂商依据自身技术理解研发,不同方案的技术实现路径差异较大,缺乏统一的技术标准规范支撑;更关键的是,这些技术方案的证据格式、验证流程都不统一,导致不同厂商的技术方案无法实现互联互通,也难以实现跨场景下的证据互认,形成了新的行业数据孤岛。
GB/T 17903.1-2024 的发布,正好解决了这一行业级痛点问题:它定义了统一的抗抵赖技术基础模型、相关术语定义和技术实现的基本逻辑框架,为不同厂商的技术方案设计、产品研发测试提供了统一的技术标尺,从技术标准层面保障了不同抗抵赖技术方案可以实现基础的技术互通和证据互认。
同时,该标准在修订过程中,充分考虑了技术的前瞻性布局,在技术层面提前为未来的技术演进路径预留了扩展空间。例如,标准中明确了对杂凑函数的技术要求,为后续抗抵赖技术的升级、以及应对未来量子计算对现有密码技术的潜在威胁,预留了技术接口;这一设计,也赋予了其作为基础标准的长期技术支撑价值。
3. 标准起草编制背景、应用领域和适用范围
要深入理解该标准的技术定位与核心价值,需要先掌握其编制修订的核心背景逻辑、技术与产业应用场景,以及标准的技术边界。
3.1 起草编制背景
GB/T 17903.1-2024 的修订发布,是技术发展、产业需求与国际标准迭代等多重因素共同驱动的结果。
3.1.1 旧版标准的技术滞后性
该标准的修订动因,本质是旧版标准的技术框架已无法适配当前的实际产业需求 ——GB/T 17903.1 的上一个版本是 2008 年发布的,在过去的十多年间,国内网络安全行业的整体技术环境发生了剧烈的变化:密码技术的应用模式持续创新,数据安全监管逻辑不断细化,行业的抗抵赖应用需求从过去的单一金融交易场景扩展到了全行业的数字化业务场景。在这一背景下,2008 年版标准的技术框架,已无法覆盖新的行业应用场景,也无法支撑新的密码技术应用方案,修订完善的必要性和紧迫性持续提升。
3.1.2 国际标准的本土化适配需求
从技术源头的维度看,该标准的修订,是跟踪国际标准技术演进、并完成国内本土化适配的结果 ——GB/T 17903.1-2024 修改采用了国际标准 ISO/IEC 13888-1:2020《信息技术 安全技术 抗抵赖 第 1 部分:概述》。这一 “修改采用” 的技术路径,既保证了国内标准的技术框架与国际主流技术思路的一致性,也在技术细节层面充分考虑了国内的密码技术应用实际和相关标准体系的衔接性。
具体来看,该标准在技术内容层面,主要针对国内行业实际情况,对国际标准做出了三项本土化技术调整:一是用国内的 GB/T 20520《信息安全技术 公钥基础设施 时间戳规范》,替代了国际标准中对应的 ISO/IEC 18014 标准;二是删除了国际标准中部分在国内 GB/T 25069《信息安全技术 术语》中已明确规定的通用术语,避免了不同标准之间的术语重复定义;三是在技术要求中,明确了抗碰撞杂凑函数必须符合国内相关密码标准、行业标准的相关要求;这三点调整,都进一步提升了标准在国内行业场景下的适用性。
3.1.3 专业机构的技术支撑
从起草过程的维度看,该标准的修订,凝聚了国内产学研用各主体的行业共识 —— 该标准的主要起草单位,包括中国科学院软件研究所、长春吉大正元信息技术股份有限公司、成都卫士通信息产业股份有限公司、中国科学院大学、奇安信科技集团股份有限公司、格尔软件股份有限公司、北京信安世纪科技有限公司等行业头部机构,覆盖了国内抗抵赖技术领域的顶尖科研机构、核心密码技术企业和头部网络安全企业。
这些参与起草的单位,在技术层面积累了国内抗抵赖技术领域最扎实的技术研究成果和行业落地经验,也充分代表了行业技术应用的共识性需求;这一多元化的起草主体构成,有效保障了标准的技术先进性、行业适用性,以及与国内现有相关标准体系的衔接性。
3.2 应用领域
作为抗抵赖技术领域的基础性通用标准,GB/T 17903.1-2024 不针对具体行业场景或特定技术产品,而是为各类使用密码技术的抗抵赖类产品提供统一的通用技术模型,其技术应用覆盖从底层技术方案设计到上层行业落地实现的全链条环节。
3.2.1 技术产业应用
在技术产业侧,该标准首先是支撑 GB/T 17903 系列其他标准的基础性依据 —— 它定义的通用技术模型,是系列标准中后续的具体技术机制标准的技术基础;其次,它为国内各类信息系统中抗抵赖相关应用的技术方案设计、产品研发与测试验证,提供了统一的技术规范依据,可用于指导不同厂商的抗抵赖技术方案设计与产品研发,有效保障不同技术方案的互联互通性;此外,该标准中明确的技术流程,也可作为第三方测评机构,对各类抗抵赖技术产品进行安全测评、合规性检测的权威技术依据。
3.2.2 行业落地应用
在行业落地侧,该标准的技术框架,可支撑政务、金融、医疗、电子商务、司法等多个对数据安全要求极高的行业场景的合规建设,覆盖从政务办公、金融交易、医疗数据共享到司法存证等对数据操作行为的不可否认性有强制需求的各类核心场景。
具体来看,在政务场景下,该标准可支撑跨部门政务数据共享、政务公文流转过程中的行为追溯,明确数据共享过程中的各方责任边界;在金融场景下,可支撑用户交易行为、账户敏感操作的全流程记录与验证;在电子商务场景下,可支撑电子合同签署、用户订单操作行为的不可否认性验证;在司法场景下,可支撑电子证据生成、传输和验证过程的合规性,为电子证据的司法真实性和可靠性提供技术支撑;在医疗场景下,可支撑患者病历数据调取、修改、传输过程中的行为追溯,明确医疗数据操作的各方责任边界。
3.3 适用范围
GB/T 17903.1-2024 作为抗抵赖系列标准的基础通用部分,在技术内容中明确划定了清晰的技术适用边界,这也是标准落地应用的前提条件。
3.3.1 标准覆盖的技术边界
从技术维度看,该标准规定了抗抵赖机制的通用技术模型,适用于支撑 GB/T 17903 系列其他标准中规定的、使用密码技术的具体抗抵赖机制;其技术覆盖范围,完整覆盖了抗抵赖的全生命周期技术流程,包括证据生成、证据传输存储、证据检索、证据验证等核心技术环节。
从应用场景维度看,该标准的技术内容,适用于各类信息系统中实现消息抗抵赖相关应用的技术方案设计、产品研发与测试验证;这里的 “消息”,是一个广义的技术概念,覆盖了从传统网络交易报文、电子公文、电子合同到医疗记录等各类需要抗抵赖保护的数字数据内容。
3.3.2 标准的技术排除项
该标准的技术内容,不覆盖实际争议仲裁的流程或技术裁决方法 —— 它仅仅规定了抗抵赖技术的实现框架,以及证据的生成、存储与验证流程,但并未规定如何使用这些技术证据来进行实际争议仲裁的具体流程或规则。这一排除项的技术逻辑是:争议仲裁过程,本质是司法或行业监管机构的职权范畴,需要结合法律法规、行业监管规则等多维度依据来综合开展,不属于技术标准单方面能覆盖的技术边界;这也意味着,该标准在整个抗抵赖体系中的定位,是支撑争议仲裁的技术证据支撑依据,而非直接的仲裁依据或流程规范。
3.3.3 应用的非强制性边界
作为一份推荐性国家标准,该标准的技术内容对行业主体并不具备强制约束力;但在实际行业应用中,该标准的技术框架,通常会被各类行业级抗抵赖技术方案、产品、项目作为基础技术依据引用,或直接将其技术要求作为合规性评价依据,因此在国内抗抵赖技术领域,具备事实上的行业技术指导性。
4. 标准技术演化历史
GB/T 17903.1-2024 的发布,是该系列标准的第二次技术迭代。梳理其完整技术演化路径,可以清晰看出国内抗抵赖技术标准的制定思路,从早期的完全跟随国际标准,到逐步适配国内产业需求、实现自主化调整的发展成熟过程。
4.1 版本迭代路径
该标准的版本迭代路径,完整记录了国内抗抵赖技术标准,从引入国际技术框架到适配国内产业需求的发展过程。
•首版发布(1999 年) :GB/T 17903.1-1999 首次发布,其技术框架等同采用了国际标准 ISO/IEC 13888-1:1997。这一版本的核心技术目标,是将国际上成熟的抗抵赖基础技术框架引入国内,填补国内在抗抵赖技术标准领域的空白,为当时国内刚起步的互联网交易、电子政务等场景下的抗抵赖技术应用,提供基础的技术依据。
•第一次修订(2008 年) :GB/T 17903.1-2008 发布,技术框架等同采用了 ISO/IEC 13888-1:2008。这一版本是对 1999 年首版的技术内容更新,同步了国际标准在抗抵赖技术模型、密码技术应用等方面的最新技术思路,适应了当时国内密码技术水平和行业应用场景的发展变化。
•第二次修订(2024 年) :GB/T 17903.1-2024 发布,技术框架修改采用了 ISO/IEC 13888-1:2020,完成了对 2008 年旧版标准的技术修订。这一修订的核心技术背景,是国际标准的技术迭代,以及国内数据安全合规需求、抗抵赖技术应用场景的重大变化;值得注意的是,这一版本将标准的中文名称,从《信息技术 安全技术 抗抵赖 第 1 部分:概述》调整为《网络安全技术 抗抵赖 第 1 部分:概述》—— 这一名称调整,并非简单的文字改动,而是精准呼应了整个网络安全行业的技术发展趋势,明确了其作为网络安全领域基础性标准的技术定位。
4.2 2024 年版与 2008 年版的技术差异分析
GB/T 17903.1-2024 在技术内容、编写结构和与国内标准衔接性等维度,对 2008 年旧版标准进行了系统性的优化调整,主要技术变化集中在以下六个维度:
1.技术采标原则调整:将旧版标准的 “等同采用国际标准”,调整为 “修改采用国际标准”,并结合国内行业的实际技术需求和应用场景,对国际标准的技术内容进行了本土化适配,有效提升了标准在国内行业场景下的适用性。
2.密码技术要求明确化:标准中明确增加了对杂凑函数的技术要求,即抗碰撞杂凑函数必须符合国内相关密码标准、行业标准的相关要求;这一技术调整的核心逻辑,是适配国内对密码技术应用的合规性监管要求,也为后续系列标准中具体技术机制的密码应用提供了统一的技术约束。同时,这一调整也将原有标准中未被引用的规范性引用文件,从正文调整至附录的参考文献部分,进一步优化了标准文本的结构逻辑。
3.术语体系优化调整:对标准中的术语和定义内容进行了系统性优化,删除了部分在国内现有 GB/T 25069《信息安全技术 术语》标准中已明确规定的通用术语,避免了不同标准之间的术语重复定义,进一步提升了标准之间的衔接性。
4.标准结构逻辑优化:对旧版标准的章节结构进行了系统性调整,删除了旧版中从 6.1 节到 6.7 节的具体技术细则内容,将这些内容整合为列项形式的技术纲要;同时调整了部分章节的顺序,比如将原 7.2 节和 7.1 节的顺序进行了对调,让整个标准的技术逻辑从 “基础模型概述” 到 “具体技术要求” 再到 “应用实例” 更加顺畅,更符合国内工程技术人员的阅读习惯。
5.抗抵赖服务描述完善:标准中修改完善了对抗抵赖服务概述的技术描述,进一步明确了抗抵赖服务的技术目标、技术流程以及可信第三方在技术流程中的具体角色定位;这一调整,进一步厘清了抗抵赖与其他安全服务的技术边界。
6.技术前瞻性布局:在标准的技术框架中,增加了 9.1、10.1 和 11.1 这几个新的技术条款章节,有效消除了旧版标准中的技术悬置段,进一步规范了抗抵赖技术的应用场景、技术边界与操作流程;同时,这些新增的技术条款,也为后续技术标准的迭代、以及未来新型抗抵赖技术方案的落地,预留了足够的技术扩展空间。
4.3 技术演化的核心趋势总结
从 1999 年首版发布至今该标准的技术迭代路径,可以清晰看出国内抗抵赖技术标准的三大核心演化趋势,本质是技术标准从 “引入国际成熟框架” 向 “支撑国内产业合规发展” 的定位转变:
•从跟跑到适配的技术路线转变:早期的 1999 年版和 2008 年版标准,都选择了等同采用国际标准的技术路径,核心目标是快速引入国际成熟技术框架,填补国内标准空白;而 2024 年版标准,修改采用国际标准,并在技术细节上充分适配国内的密码技术应用场景和标准体系,技术标准的制定逻辑从 “跟随国际标准” 转向 “贴合国内产业实际需求”。
•被动跟进到主动呼应的需求转变:早期标准的技术迭代,主要是为了同步国际标准的技术更新;而 2024 年版的技术迭代,核心是主动呼应国内数字经济发展和数据安全合规的实际需求,技术设计上充分匹配了国内行业的应用场景,让标准从单纯的技术规范,变成了支撑行业业务发展和合规建设的核心技术基础设施。
•单一技术到全体系支撑的定位转变:旧版标准的技术内容,更侧重对技术机制的定义;而 2024 年版标准,从术语定义、技术模型架构到全生命周期的技术流程规范,提供了一整套完整的技术支撑体系,强化了对系列标准中其他具体技术机制标准的基础性支撑作用。
5. 系列标准构成及整体作用
GB/T 17903《网络安全技术 抗抵赖》是一个由多个部分组成的系列标准,GB/T 17903.1-2024 仅是其中的第 1 部分。要准确理解第 1 部分的技术价值,需要先厘清整个系列标准的构成、各部分的技术定位以及相互之间的协同关系。
5.1 系列标准构成情况
根据公开的标准信息,GB/T 17903 系列标准在《网络安全技术 抗抵赖》的总标题下,目前共分为 3 个独立的部分,各部分的技术内容、实施状态和适配关系,形成了完整的技术支撑体系。其中,第 1 部分是整个系列的基础通用框架,第 2 部分和第 3 部分则是在第 1 部分的通用框架下,针对不同密码技术路线制定的具体技术实现标准;三个部分之间形成了 “基础框架支撑 - 具体技术实现” 的协同配套关系。
各部分的详细信息如下表所示:
部分序号 | 标准号 | 英文名称 | 中文名称 | 核心技术内容 | 实施状态 |
第 1 部分 | GB/T 17903.1-2024 | Cybersecurity technology—Non-repudiation—Part 1: General | 网络安全技术 抗抵赖 第 1 部分:概述 | 规定抗抵赖机制的通用技术模型,提供系列标准中其他技术机制的基础框架,覆盖抗抵赖全生命周期技术流程 | 现行(2024 年 10 月 1 日起实施) |
第 2 部分 | GB/T 17903.2-2021 | Information technology—Security techniques—Non-repudiation—Part 2: Mechanisms using symmetric techniques | 信息技术 安全技术 抗抵赖 第 2 部分:采用对称技术的机制 | 基于对称密码技术路线,确立抗抵赖服务的通用结构和特定技术机制,用于提供原发抗抵赖、交付抗抵赖等服务 | 现行(2022 年 5 月 1 日起实施) |
第 3 部分 | GB/T 17903.3-2024 | Cybersecurity technology—Non-repudiation—Part 3: Mechanisms using asymmetric techniques | 网络安全技术 抗抵赖 第 3 部分:采用非对称技术的机制 | 基于非对称密码技术路线,确立抗抵赖服务的通用结构和特定技术机制,用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖、提交抗抵赖等服务 | 现行(2024 年 10 月 1 日起实施) |
需要特别说明的是,第 2 部分的标准虽早于第 1 部分和第 3 部分发布,但技术内容完全符合第 1 部分通用框架的技术要求,与系列标准的其他部分具备技术兼容性;而第 3 部分的发布时间、实施时间与第 1 部分完全同步,技术层面实现了精准适配。
5.2 各部分技术细节与协同关系
GB/T 17903 系列标准的 3 个部分,并非简单的技术内容并列,而是呈现出清晰的 “总 - 分” 架构逻辑,既在技术层面相互独立,又在技术支撑关系上协同互补,共同形成了覆盖不同技术路线、不同应用场景的抗抵赖技术标准体系。
5.2.1 第 1 部分:概述(GB/T 17903.1-2024)
作为系列标准的基础通用部分,该部分的核心技术定位,是为整个系列标准提供统一的通用技术基准:它定义了抗抵赖技术的通用技术模型、核心技术术语、相关技术角色定位、以及技术流程的基本要求,不涉及任何具体的技术实现细节或密码算法的选型,是系列标准中后续两个具体技术机制标准的基础性支撑依据。
从技术价值维度看,该部分在整个系列标准中的核心作用,是解决了 “技术共识统一” 的行业级问题:它将抗抵赖技术的通用技术框架,从具体的技术实现细节中抽象出来,对抗抵赖技术的全生命周期流程、技术角色、核心技术元素进行了统一的规范性定义,让后续的具体技术机制标准、以及行业级的技术方案研发,都能基于一个统一的技术共识展开;这一设计,有效保障了不同技术路线、不同厂商的抗抵赖方案,在技术底层逻辑上的一致性和互联互通性。
5.2.2 第 2 部分:采用对称技术的机制(GB/T 17903.2-2021)
该部分是系列标准中,针对对称密码技术路线的具体技术实现标准 —— 它以第 1 部分规定的通用技术模型为基础,专门确立了采用对称密码技术实现抗抵赖服务的通用技术结构,以及特定的抗抵赖技术机制,主要用于提供原发抗抵赖、交付抗抵赖等核心抗抵赖服务。
从技术场景维度看,基于对称密码技术的抗抵赖机制,在技术实现上需要依赖可信第三方的参与,一般需要在线的可信第三方来实现技术流程;因此,该部分的技术内容,适用于对实时性要求较高、且技术方案中存在在线可信第三方技术支撑的应用场景。
需要特别说明的是,虽该部分的发布时间早于 2024 年版的第 1 部分,但其技术框架完全兼容 2024 年版第 1 部分的通用技术模型,在实际应用中可以与第 1 部分的技术框架无缝衔接。
5.2.3 第 3 部分:采用非对称技术的机制(GB/T 17903.3-2024)
该部分是系列标准中,针对非对称密码技术路线的具体技术实现标准 —— 它与第 1 部分同步发布、同步实施,技术层面精准匹配了第 1 部分的通用技术框架。该部分的核心技术内容,是确立了采用非对称密码技术实现抗抵赖服务的通用技术结构,以及特定的抗抵赖技术机制,可用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖、提交抗抵赖等更丰富的抗抵赖服务。
从技术场景维度看,基于非对称密码技术的抗抵赖机制,在技术实现上对在线可信第三方的依赖度较低,仅需要离线的可信第三方来提供公钥基础设施的支撑,是目前行业内应用最广泛的抗抵赖技术路线,也是支撑数字签名、电子签章等主流抗抵赖技术产品的基础性技术依据。
5.2.4 系列标准的整体作用
GB/T 17903 系列标准的 3 个部分,通过 “基础框架 - 技术实现” 的分层架构设计,形成了完整的技术闭环支撑体系,其整体技术作用可以从三个维度展开:
•技术支撑维度:该系列标准为行业提供了一整套完整的、覆盖不同密码技术路线的抗抵赖技术实现方案,完整覆盖了从底层技术机制设计、到上层产品研发再到行业方案落地的全流程环节。其中,第 1 部分的通用技术模型,为第 2 部分和第 3 部分的具体技术机制提供了统一的技术基准;而第 2 部分和第 3 部分的技术内容,则是在第 1 部分的通用框架下,对不同密码技术路线下具体抗抵赖机制的细化实现。这一协同架构,有效保障了不同技术路线、不同厂商的抗抵赖技术方案,在技术底层逻辑上的一致性和互联互通性,避免了行业技术方案的碎片化发展。
•行业应用维度:该系列标准覆盖了不同技术需求场景下的抗抵赖需求:无论是需要在线可信第三方支撑的高实时性场景,还是依赖离线公钥基础设施支撑的普适性场景,都能在系列标准中找到对应的技术支撑;此外,该系列标准的技术内容,为行业级抗抵赖技术方案的设计、产品研发、测试验证和项目实施,提供了完整的技术依据,打通了从技术标准到行业落地的 “最后一公里”。
•合规与产业发展维度:该系列标准的技术框架,是落实《网络安全法》《数据安全法》《网络数据安全管理条例》中数据安全合规要求的关键技术支撑,为数据处理活动的可审计、可追溯,提供了一整套标准的技术实现路径;同时,该系列标准的发布,也为国内抗抵赖技术产业的发展,提供了统一的技术标尺,有效引导了行业技术方案的标准化建设,降低了不同行业、不同场景下技术方案的对接成本,对保障数字经济的健康发展具有重要的支撑作用。
6. 结论
综合上述研究分析,GB/T 17903.1-2024《网络安全技术 抗抵赖 第 1 部分:概述》的发布实施,是国内抗抵赖技术领域标准化建设的重要里程碑事件,其技术价值与产业价值,贯穿了从底层技术基础到顶层行业合规支撑的全链条环节。
1.趋势与政策适配性结论:该标准的修订发布,精准契合了当前数字经济发展阶段下的两大核心需求 —— 数据要素市场化流通对技术层面的抗抵赖需求,以及《网络安全法》《数据安全法》《网络数据安全管理条例》等监管法规对数据处理活动的合规性需求。作为行业级抗抵赖技术方案的基础技术支撑依据,它的技术框架完全匹配了国家网络安全标准体系的顶层规划要求,为行业合规建设提供了关键的技术基础设施,也为国内抗抵赖技术产业的发展,提供了清晰的技术导向。
2.编制背景与适用范围结论:该标准的修订发布,是为了适配国内产业的实际发展需求 —— 在旧版标准的技术框架已无法适配新的行业应用场景与技术需求的背景下,由国内抗抵赖技术领域的顶尖科研机构和头部企业共同参与起草,全程结合国内产业的实际应用场景和需求,对国际标准 ISO/IEC 13888-1:2020 进行了本土化的修改采用。其技术内容,为各类信息系统中的抗抵赖技术方案设计、产品研发、测试验证提供了统一的技术框架;同时,标准也明确划定了技术边界,即不覆盖实际争议仲裁的流程,仅为争议仲裁提供技术层面的证据支撑。
3.技术演化结论:从 1999 年首版发布、2008 年第一次修订到 2024 年第二次修订,该标准的技术迭代路径,清晰呈现了国内抗抵赖技术标准从 “引入国际成熟技术框架” 到 “贴合国内产业实际需求” 的发展演进逻辑。2024 年版标准在技术采标原则、密码技术要求、标准结构逻辑和术语体系等维度,对旧版标准进行了系统性的优化调整,技术层面更加贴合国内行业的实际应用场景,技术框架的前瞻性更强,也进一步强化了与国内其他相关标准的衔接性。
4.系列标准协同结论:GB/T 17903 系列标准由 3 个部分组成,形成了 “基础通用框架 - 具体技术机制实现” 的完整技术分层架构。其中,第 1 部分作为基础通用概述篇,定义了抗抵赖技术的通用技术模型,为第 2 部分(对称密码技术机制)和第 3 部分(非对称密码技术机制)的具体技术实现,提供了统一的技术基准;三个部分各司其职、协同互补,覆盖了不同密码技术路线、不同行业场景下的抗抵赖需求,为国内数据要素流通和行业数字化合规建设,提供了全流程、闭环的抗抵赖技术标准支撑体系。
总体来看,GB/T 17903.1-2024 的发布实施,既是对国际成熟抗抵赖技术框架的引入与本土化适配,更是支撑国内数字经济发展、落实数据安全合规要求的关键技术基础设施;它所建立的通用技术模型,是理解和应用整个 GB/T 17903 系列标准的基础前提。对于科研机构而言,该标准是开展抗抵赖技术研究的重要技术参考依据;对于行业用户而言,该标准为抗抵赖技术方案的选型、设计与合规落地提供了清晰的技术依据;对于整个产业而言,该标准的发布实施,进一步引导了抗抵赖技术产业的标准化发展,为数据要素市场化流通和数字经济的健康发展,筑牢了关键的技术防线。

请在微信客户端打开
夜雨聆风