1、中华人民共和国国家标准用于行政 商业和运输业电子数据交换的应用级语法规则语法版本号第 部分 安全鉴别和确认报文报文类型为发布 实施国家质量技术监督局 发布前言本标准等同采用 用于行政商业和运输业电子数据交换的应用级语法规则语法版本号 第 部分 安全鉴别和确认报文 报文类型为系列标准在用于行政商业和运输业电子数据交换的应用级语法规则语法版本号的总标题下包括下列 个部分第 部分各部分公用的语法规则及每部分的语法服务目录第 部分批式电子数据交换专用的语法规则第 部分交互式电子数据交换专用的语法规则第 部分批式电子数据交换语法和服务报告报文报文类型为第 部分批式电子数据交换安全规则真实性完整性和源抗抵
2、赖性第 部分安全鉴别和确认报文报文类型为第 部分批式电子数据交换安全规则保密性第 部分电子数据交换中的相关数据第 部分密钥和证书管理报文报文类型为第 部分交互式电子数据交换安全规则将来还有可能增加新的部分对应于 为 第四版它的发布与实施不影响我国 年根据制定的国家标准本标准的附录 是标准的附录附录 附录 附录 是提示的附录本标准由中华人民共和国国家信息化办公室提出本标准由全国文件格式和数据元标准化技术委员会全国信息技术标准化技术委员会归口本标准起草单位电子工业部标准化研究所中国标准化与信息分类编码研究所本标准主要起草人王颜尊 吴志刚 李颖 张荣静 徐冬梅王欣 苑琳前言国际标准化组织是一个世界性
3、的各国标准机构 国家成员体 联盟 国际标准的制定工作一般通过 技术委员会完成 对某个已建立的技术委员会的项目感兴趣的每个成员体 有权对该技术委员会表述意见 任何与 有联络关系的官方和非官方的国际组织都可直接参与制定国际标准 与 国际电工委员会 在电工技术标准的所有领域密切合作由技术委员会正式通过的国际标准草案在被 理事会接收为国际标准之前 须分发到各成员体进行表决 按照 的工作程序在得到至少 的成员体投票赞成之后 该标准草案才成为国际标准本国际标准 第四版由联合国欧洲经济委员会第四工作组 起草 作为的组成部分 由 行政商业和工业中的单证和数据元 通过快速表决程序采纳为现行标准在联合国用于行政
4、商业和运输业的电子数据交换应用级语法规则 的总标题下由下列几部分组成各部分公用的语法规则及每部分的语法服务目录批式电子数据交换专用的语法规则交互式电子数据交换专用的语法规则批式电子数据交换语法和服务报告报文报文类型为批式电子数据交换安全规则真实性 完整性和源抗抵赖性安全鉴别和确认报文报文类型为批式电子数据交换安全规则保密性电子数据交换中的相关数据密钥和证书管理报文报文类型为交互式电子数据交换安全规则将来还有可能增加新的部分引言根据批式或交互式处理的需求 本标准包含了用于结构化在开放环境中交换的电子报文中的数据的应用级规则 联合国欧洲经济委员会 已经同意把这些规则作为用于行政商业和运输业电子数据
5、交换 的应用级语法规则 这些规则是联合国贸易数据交换目录 的一部分 还包含批式和交互式报文设计指南通讯规范及协议不在本标准的范围之内本标准是 新增加的部分 它通过一个安全鉴别和确认报文的方法来提供保护一个结构即报文包 组或交换的可选功能中华人民共和国国家标准用于行政 商业和运输业电子数据交换的应用级语法规则语法版本号第 部分 安全鉴别和确认报文报文类型为国家质量技术监督局 发布 实施范围本标准定义了安全鉴别和确认报文 报文类型为一致性与一个标准一致意味着支持其所有需求包括所有选项 如果不是所有选项都被支持则任何一致性声明都应包含一个说明 用于标识那些被声明为与其一致的选项如果所交换的数据的结构
6、和表示符合本标准中规定的语法规则 则这些数据处于一致性状态当支持本标准的设备能创建和或解释其结构和表示与本标准一致的数据时这些设备处于一致性状态与本标准的一致应包含与 和 的一致当在本标准中标识出在相关标准中定义的条款时 这些条款应构成一致性判定条件的组成部分定义本标准所使用的定义见 的附录 和 的附录安全鉴别和确认报文的使用规则功能定义是鉴别发送的交换 组报文或包的报文或对所接收到的交换组 报文或包提供安全确认的报文安全鉴别和确认报文能用于对于报文包组或交换提供安全鉴别完整性或源抗抵赖性对于经安全处理的报文包组或交换提供接收的安全确认或接收的抗低赖性应用领域安全鉴别和确认报文适用于国内贸易和
7、国际贸易 它是基于行政商业和运输业相关领域内的广泛实践 而不受业务或行业类型的限制原则所应用的安全规程应由贸易参与方协商通过并应在交换协定中进行规定安全鉴别和确认报文 向其他 结构 包括报文包组或交换实施安全服务并且对经安全处理的 结构提供安全确认 它也能应用于贸易双方间需要安全处理的结构组合安全服务是通过应用于原始 结构内容中的密码机制来提供 这些密码机制处理的结果形成了 的报文体并由相关数据 如所用的加密方法的参考 结构的参考号以及原始结构的日期和时间补充报文应使用标准的安全头段组和安全尾段组报文适用于一个或多个交换中的一个或多个报文包或组或者适用于一个或多个交换鉴别功能的 的用法用作鉴别
8、报文的 报文应由一个或多个其他 结构的发送方或通过有权代表发送方行为的一方来发送 其目的是简化 中所定义的安全服务即相关 结构的真实性完整性和源抗抵赖性鉴别报文能够以两种方法实现 第一种方法是传输参考的 结构的散列值该结构是由 自身进行安全处理的 和二种方法是用 只传输参考 结构的数字签名使用参考的 结构的散列值的鉴别经安全处理的 结构应在 段 安全参考出现时参考 对于每个 将至少出现一个相对应的 段 参考的安全 它包括参考的 结构实施安全功能的安全结果例如散列值所实施的安全功能细目将包含在这个 的安全头段组中 用于参考的 结构的和 段将通过使用两个段中的数据元安全参考只来链接最后一步 在 中
9、传输的所有信息将通过至少使用一对安全头段组和安全尾段组加以安全处理注 使用 段来引用一个或多个交换中的一个或多个报文 包或组 或者参考一个完整的交换 对于每一个 段 相应的 段包含应用于参考的 结构的散列结果 鉴别及抗抵赖方法使用参考的 结构的数字签名的鉴别经安全处理的 结构应在 段安全参考出现时被引用 对于每一个 段至少应出现一个相对应的 段参考的安全性 且该段包含参考的 结构的数字签名 关于所执行的安全功能细目应包含于本 安全头段组中 由于可对单个参考的 结构进行多次安全处理所以应通过在这两个段中使用数据元安全控制参考号将有关的 段和安全头段组链接起来如果参考的 结构的数字签名包含于 而不
10、是一个散列值中则报文本身不需要进行安全处理确认功能的 的用法用作确认报文 报文应由已接收一个或多个经安全处理的 结构的接收方发送或由有权代表接收方的一方发送 它的目的是简化对相关的 结构实现接收确认内容完整性的确认 完整性确认及接收的抗抵赖性确认功能只适用于经安全处理的 结构 这个经安全处理过的 结构应在一个段安全参考出现时参考 对于每一个 来说至少应出现一个相应的 段 该 段或者包含散列值或者包含参考的 结构的数字签名 通过使用数据元安全参考号应将 段与参考的 结构的安全头段组或与对 结构进行安全处理的 报文的安全头段组链接起来 这个与参考的 结构相应的安全头包括了由原始报文的发送方对参考的
11、结构实施的安全功能细目作为产生确认报文的最后一步在 中传输的所有信息应由至少一对安全头段组和安全尾段组来进行安全处理在安全验证失败时 也用于非确认功能注 安全确认仅对经过安全处理的 结构有意义 对 结构进行安全处理是通过集成的安全段组参见 或通过 鉴别来实现的为了避免无穷循环 用于确认功能的 不应要求其接收方发回 确认报文报文定义数据段说明报文头开始并唯一标识报文的服务段安全鉴别和确认报文的报文类型代码为数据元报文类型子功能标识用来指明 功能的用法如鉴别 确认或确认的拒绝注 符合本标准的报文必须在 段和复合数据元 中包含下列数据数据元段组 安全头段组本段组标识所采用的安全服务和安全机制并包含了
12、执行确认计算所需的数据 见的定义本段组应规定应用于 报文或参考的 结构的安全服务和算法 每个安全头段组应与一个安全尾段组相链接 并且某些安全头段组可以另外与 段相链接安全头本段规定了应用于包含本段的报文包或应用于参考的 结构的安全服务见的定义安全服务数据元应规定 报文或参考的 结构所采用的安全服务报文源鉴别和源抗抵赖性安全服务仅适用于 报文本身参考的 结构完整性参考的 结构源鉴别和参考的结构源抗抵赖性等安全服务只能由发送方用来对 参考的 结构进行安全处理接收鉴别和接收的抗抵赖性安全服务只能由经安全处理的 结构的接收方对确认进行安全处理应按照 中的有关规定说明安全服务的安全应用范围 在一个报文中
13、允许有四种安全应用范围前两种范围见 的定义第三种范围包括全部 结构其中安全应用范围是从参考的报文 包 组或交换的第一个字符 即 开始到报文包组或交换的最后一个字符为止第四种范围是用户定义即安全应用在发送方与接收方之间的协议中定义安全算法本段标识了安全算法及由该算法所产生的技术用法并包含了所需的技术参数 见的定义段组 证书段组当使用非对称算法时本段组包含了用来验证应用于报文包的安全方法所需的数据 见的定义证书本段包含证书持有者的凭证并标识生成该证书的认证机构 见 的定义安全算法本段标识了安全算法及由该算法所产生的技术用法 并包含了所需的技术参数 见的定义安全结果本段包含认证机构应用于证书的安全功
14、能的结果见 的定义经安全处理的数据标识本段应包含交换发送方和交换接收方的标识及与这个 安全性有关的时间标记并且它应规定是否需要来自这个 报文接收方的一个安全确认 如果需求这个报文发送方将希望得到一个报文接收方发送回来的 确认报文在 中的交换发送方和交换接收方应该参考出现 的交换中的发送方和接收方 以便保证这个信息的安全性段组本段组用来标识安全进程中的参考方并提供有关参考的 结构的安全信息安全参考本段应包含安全进程中所涉及的参与方的参考复合数据元安全日期和时间可以包含参考的 结构的最初生成日期和时间如果只出现数据元 而没有 和 出参考整个交换如果出现数据元 和 而没有出现 和 则参考该组参考的安
15、全本段包含一个与安全头段组的链接和按照被链接的安全头段组中所规定的安全服务应用于参考 结构的结果当通过相同的安全服务并采用相同的安全参数对多个参考的 结构进行安全处理时 多个 段可以与相同的安全头段相链接 在这种情况下安全头段组和相关多个 之间的链接值应是相同的当 用于确认功能时相应的安全头段组应是参考的 结构的安全头段组或者是用于向参考的 结构提供鉴别功能的 报文的安全头段组在一个 段中数据元 的值应与以下两种情况相对应的 段中 的值完全相同如果使用鉴别功能就是当前的 安全服务参考的 结构的真实性 参考的 结构的完整性或参考的 结构的源抗抵赖性如果使用确认功能就是参考的 结构本身或者向参考的
16、 结构提供鉴别功能的 报文安全服务接收的抗抵赖性或接收鉴别段组 安全尾段组本段组包含与安全头段组的链接和应用于报文包的安全功能的结果 见的定义如果安全尾段组与某个参考的 结构相关的安全头段组相链接则 段可以被省略 在这种情况下 相应的安全功能结果应能在链接到相应安全头段组的 段中找到安全尾本段在安全头段组与安全尾段组间建立一个链接并说明包含在这些组中的安全段的数目见 的定义安全结果本段包含应用于报文包的安全功能的结果这些安全功能是在被链接的安全头段组中进行规定的见 的定义 在这个段中安全结果应适用于 报文本身报文尾本服务段终止一个报文并给出段的总数和报文的控制参考号报文结构段表位置 标记 名称
17、 状态最大次数 备注报文头段组安全头安全算法段组证书安全算法安全结果经安全处理的数据标识段组安全参考参考的安全段组安全尾安全结果报文尾注 报文的报文体由 段和段组 构成附录标准的附录语法服务目录段复合数据元和简单数据元段目录段规范说明功能 段的功能位置 段表中的独立数据元或复合数据元的顺序位置号标记 段目录中的所有服务段的标记以字母 开头 所有服务复合数据元的标记以字母开头所有服务简单数据元的标记以数字 开头名称复合数据元的英文名称用大写字母表示独立数据元的名称用大写字母表示成分数据元的英文名称用小写字母表示状态段中的独立数据元或复合数据元的状态 表示必备型 表示条件型 或复合数据元中的成分数
18、据元的状态最大次数 独立数据元或成分数据元在段中出现的最大次数表示 复合数据元中的独立数据元或成分数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位字母字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多为 位字母数字字符从属性注释标识符代码 名称有一项且仅有一项全有或全无有一项或多项有一项或无如果第一项有 则全有如果第一项有 则至少有一项如果第一项有 则其他项全无从属性注释标识符的定义见 的按段标记字母顺序排列的段索引标记 名称报文头报文尾安全算法经安全处理的数据标识证书安全头安全结果安全尾安全参考参考的安全按英文名称的字母顺序排列的段索引标记 名称证书报文头报文尾
19、经安全处理的数据标识安全算法安全头参考的安全安全参考安全结果安全尾段规范注 在此只包含 其他部分中未定义的段经安全处理的数据标识功能包含与 相关的细目位置 标记 名称 状态最大次数表示 注应答类型代码型安全日期与时间日期与时间限定符事件日期事件时间时差交换发送方交换发送方标识标识代码限定符交换发送方内部标识交换发送方内部子标识交换接收方交换接收方标识标识代码限定符交换接收方内部标识交换接收方内部子标识安全参考功能参照经安全处理的 结构及其有关的日期和时间位置 标记 名称 状态最大次数表示 注交换控制参考交换发送方交换发送方标识标识代码限定符交换发送方内部标识交换发送方内部子标识交换接收方交换接
20、收方标识标识代码限定符交换接收方内部标识交换接收方内部子标识段组参考号应用发送方标识应用发送方标识标识代码限定符应用接收方标识应用接收方标识标识代码限定符报文参考号报文标识符报文类型报文版本号报文发布号管理机构代码型机构指定的代码代码列表目录版本号报文类型子功能标识包参考号安全日期与时间日期与时间限定符事件日期事件时间时差从属性注释如果第一项有则全有有一项且仅有一项如果第一项有则全有如果第一项有则全有参考的安全功能 标识适用的头并包含安全结果和或指明导致安全错误原因的参考值位置 标记 名称 状态最大次数表示 注安全参考号确认结果确认值限定符确认值安全错误代码型注 有 一项或多项复合数据元目录未
21、定义复合数据元简单数据元目录简单数据元规范说明简单数据元目录中的所有服务简单数据元的标记以数字 开头名称简单数据元的名称描述 简单数据元的描述表示 简单数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多 位字母数字字符注 简单数据元注号按标记排列的简单数据元索引标记 名称交换控制参考组参考号报文参考号应答类型 代码型安全参考号安全错误 代码型包参考号按英文名称的字母顺序排列的简单数据元索引标记 名称组参考号交换控制参考报文参考号包参考号应答类型 代码型安全错误 代码型安全参考号简单数据元说明注 在此只包含 其他部
22、分未定义的简单数据元安全错误代码型描述标识导致拒绝 结构的安全错误表示注 此数据元应说明所出现的安全错误 这些错误可能是导致对安全确认请求的未确认 或者可以是一个包含错误的 或经安全处理的 结构的接收方主动发送的附录提示的附录服务代码目录服务代码目录由 维护并且是联合国贸易数据交换目录 的一部分 因此在本标准中不重新制定 服务代码目录的新版本应使用简单数据元目录中有代码数据元的参考代码值见附录 按正常周期推出和公布附录提示的附录报文示例在此提供三个示例来解释 报文的不同应用第一个示例说明了在提供源抗抵赖性的安全服务时如何使用 报文来保护前面发送的报文 还需要 确认报文第二个示例说明了一个 报文
23、如何用不同安全服务来保护两个报文一个报文发起方的抗抵赖对另一个报文的源鉴别第三个示例解释了用于安全确认的 报文的用法 它说明了在第一个示例中由报文所要求的 确认报文示例 由一个 报文提供的源抗抵赖性的服务概述当付款通知报文超过一定数量时 银行需要由 公司的 先生来对 公司的付款通知报文实施源抗抵赖性的安全服务双方间的交换协定规定了 银行所要求的源抗抵性安全服务应由 公司的 先生用数字签名的方式对这些付款通知报文实施加密来完成双方都同意这个数字签名是通过 位 非对称算法对由 算法算出的散列值进行计算生成的标识 先生公开密钥的证书由双方都信任的 机构即证书的发布者发布在这些条件下由于 付款通知报文
24、 的数字签名被包含在 报文中因此本身不需要被签名由 保护的 报文是 先生发给 银行首次交换中的第三个报文 它于年 月 日 生成该 本身是交换中的第五个报文 它由 年 月 日 生成 出现的安全段如下指示对 报文尖用安全服务的 段先生的证书带有 报文的安全参考和安全结果的没有 参考安全细目安全头安全服务 代码型源抗抵赖性安全参考号本安全头的参考号是应答类型 要求确认过滤函数用十六进制的过滤器过滤所有的二进制值 签名源字符集编码 当生成报文签名时 报文用 信息技术信息交换用七位编码字符集 即 码 位进行编码证书 先生的证书证书参考 本证书由 参考安全标识细目证书持有者 公司的 先生安全标识细目证书的
25、发布者密钥名称先生的证书由认证机构 生成用于生成 证书的 公共密钥是证书的语法和版本 服务段目录的证书版本过滤器的语法和版本 所有二进制值 密钥和数字签名 用十六进制过滤器过滤源字符集编码 当生成证书时 证书使用 即 码 位进行编码表续用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值 撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是数据元分隔符值 加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是复合数据元分隔符值 冒号用于签名的服务字符用于
26、签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值 星号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值 问号安全日期与时间日期与时间证书生成时间先生证书于 年 月 日 生成安全日期与时间日期与时间证书有效期的生效时间先生证书有效期的开始时间是安全日期与时间日期与时间证书有效期的截止时间先生证书有效期的截止时间是安全算法 由 先生用于签名的非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指
27、数先生的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数先生的模数算法参数算法参考限定符算法参数值标识这个算法参数为 先生模数的长度 位数先生模数的的长度为 位安全算法 由 用于生成 先生证书的散列函数安全算法算法的使用密码操作方式算法使用发布者的散列算法使用适宜的散列函数 使用 位块密码算法的散列函数 来提供一个双倍长的散列代码 位 初始化值使用 报文一文摘算法表完安全算法 用于签名的非对称算法安全算法算法的使用密码操作方式算法使用发布者签名算法这里没有相关的操作方式是非对称算法算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法
28、参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法参数为 模数的长度 位数模数的长度是 位安全结果 证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名经安全处理的数据标识应答类型 代码型 需要一个来自 银行的安全确认安全日期与时间 的安全时间标记是交换发送方交换发送方标识交换发送方的标识公司 先生的标识交换接收方交换接收方标识交换接收方的标识银行的标识安全参考 涉及安全实体 具有源抗抵赖性服务相关的 及其相应日期和时间交换控制参考 标识发送方分配给 报文交换的参考号交换发送方交换发送方标识 标识 报文交换的发
29、送方是 公司的 先生交换接收方交换接收方标识 标识 报文交换的接收方是 银行报文参考号标发送方分配给 报文的参考号安全日期与时间日期和时间参考 的安全时间标记这个安全时间标记是 日期为 时间为参考的安全标识可用的安全头 涉及 报文所应用的安全功能 和 报文应用这些功能后的结果安全参考号将确认结果同相应的 段连接起来的参考号 在本例中 该值为确认结果确认值限定符确认值报文的 数字签名位过滤的十六进制数字签名安全尾安全参考号 该安全尾的参考号是安全段数安全段数为示例 用 保护多个报文概述当付款通知报文超过一定数量时 银行需要由 公司的 先生来对 公司的付款通知报文实施源抗抵赖性的安全服务 对于那些
30、未超出该数量的付款通知报文则需要报文源鉴别功能双方间的交换协定规定了 银行所要求的源抗抵赖性安全服务应由 公司的 先生用数字签名的方式对这些付款通知报文实施加密来完成双方都同意这个数字签名是通过 位 非对称算法对由 算法算出的散列值进行计算生成的此外报文的源鉴别将在发送方端按照 通过使用对称的 算法生成一个报文鉴别码 来实现标识 先生公开密钥的证书由双方都信任的 机构即证书的发布者发布发送的第一个 报文必须通过 用数字签名方式加以保护 这个 报文是 先生发给 银行首次交换中的第五个报文 它是在 年 月 日 发送的发送的第二个 报文必须通过 用 方式加以保护 它是首次交换中的第七个报文于 年 月
31、 日 发送报文本身是首次交换中的第十个报文 它是在 年 月 日 发送的由于第一个 报文是用数字签名方式加以保护的 本身不需要被名因此所出现的安全段如下指示对第一个 报文应用源抗抵赖性服务的 段先生的证书指示对第二个 报文应用报文源鉴别服务的 段带有第一个 报文安全参考和安全结果 数字签名的带有第二个 报文安全参考和安全结果 的没有 参考第一个没有 参考第二个安全细目安全头 安全头包括了对所参考的实体 即第一个 报文 实施安全功能的信息安全服务 代码型第一个报文的源抗抵赖性安全参考号本安全头的参考号是过滤函数用十六进制过滤器过滤所有二进制的值 签名源字符集编码 当生成报文签名时 报文用 即 码
32、位进行编码安全标识细目报文发送方 公司的 先生安全标识细目报文接收方 银行证书 先生的证书证书参考 本证书由 参考安全标识细目证书持有者 公司的 先生表续安全标识细目证书发布者密钥名称先生的证书由认证机构 生成用于生成 证书的 公共密钥是证书语法版本 服务段目录的证书版本过滤函数用十六进制过滤器过滤所有二进制值 密钥和数字签名用于签名的服务字符用于签名服务字符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值 撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是数据元分隔符值 加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务
33、字符计算签名时所用的服务字符服务字符是复合数据元分隔符值 冒号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值 星号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值 问号安全日期与时间日期与时间证书生成时间先生证书于 年 月 日 生成安全日期与时间日期与时间证书有效期的生效时间先生证书有效期的开始时间是安全日期与时间日期与时间证书有效期的截止时间先生证书有效期的截止时间是安全算法 由 先生用于签名的非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方
34、式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指数先生的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数先生的模数算法参数算法参考限定符算法参数值标识这个算法参数为 先生模数的长度 位数先生模数的的长度为 位安全算法 由 用于生成 先生证书的散列函数表续安全算法算法的使用密码操作方式算法使用发布者的散列算法使用适宜的散列函数 使用 位块密码算法的散列函数 来提供一个双倍长的散列代码 位 初始化值使用 报文一文摘算法安全算法 用于签名的非对称算法安全算法算法的使用密码操作方式算法使用发布者签名算法这里没有相关的操作方式是非对称算法算
35、法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法参数为 模数的长度 位数模数的长度是 位安全结果 证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名安全头 安全头包括了对所参考的实体 即第二个 报文 实施安全功能的信息安全服务 代码型第二个的报文源鉴别安全参考号本安全头的参考号是过滤函数用十六进制过滤器所有二进制值安全标识细目报文发送方 公司的 先生安全标识细目报文接收方 银行安全算法安全算法算法的使用密码操作方式算法使用对
36、称算法来实现报文的源鉴别按照 计算一个使用 算法算法参数算法参数限定符算法参数值标识本算法参数值为以前交换的对称密钥的名称经安全处理的数据标识应答类型 代码型 不需要来自 银行确认表完安全日期与时间 安全时间标记该安全时间标记为 日期时间交换发送方交换发送方标识交换发送方的标识公司 先生的标识交换接收方交换接收方标识交换接收方的标识银行的标识安全参考 涉及安全实体 即第二个 报文交换控制参考 标识发送方分配第二个 报文交换的参考号交换发送方交换发送方标识 标识 报文交换的发送方是 公司的 先生交换接收方交换接收方标识 标识 报文交换的接收方是 银行报文参考号标发送方分配第二个报文的参考号安全日
37、期与时间 本安全时间标记是 日期 时间参考的安全标识可用的安全头 涉及第二个 报文所应用的安全功能 和该报文应用这些功能后的结果安全参考号将确认结果同相应的 段连接起来的参考号 在本例中 该值为确认结果确认值限定符确认值 报文鉴别码安全参考 涉及安全实体 第一个 报文 及其相应日期和时间交换控制参考 标识发送方分配给 报文交换的参考号交换发送方交换发送方标识 标识 了文交换的发送方 公司的 先生交换接收方交换接收方标识 标识 了文交换的接收方 银行报文参考号标发送方分配给 报文的参考号安全日期与时间 本安全时间标记是 日期为 时间为参考的安全标识可用的安全头 涉及对第一个 报文所应用的安全功能
38、 和该报文应用这些功能后的结果安全参考号将确认结果同相应的 段连接起来的参考号 在本例中 该值为确认结果确认值限定符确认值第一个 报文的 数字签名位过滤的十六进制数字签名安全尾安全参考号本安全尾的参考号是安全段数安全段数为安全尾安全参考号 这个安全尾的参考号是安全段数安全段数为示例 通过 报文实现接收报文的安全确认概述在示例 中 由先前的 报文的发送方 公司的 先生 使用 该报文要求 银行给予确认本例将说明如何用 报文进行安全确认作为安全确认的 报文将通过采用数字签名方式的源抗抵赖性安全服务加以保护 并且这些工作已经完成该 报文生成于 年 月 日 是交换中的第二十个报文出现的安全段如下标识 报
39、文所应用的安全服务标识确认的实体所应用的安全服务银行的证书包括 的详细内容包括确认实体的参考和数字签名没有 的安全尾保护 的报文本身安全细目安全头安全服务 代码型源抗抵赖性安全参考号本安全头的参考号是过滤函数用十六进制的过滤器过滤所有的二进制值源字符集编码 当生成报文签名时 报文用 即 码 位进行编码安全标识细目报文发送方 产生数字签名的一方 银行安全顺序号本报文的安全顺序号是安全日期和时间 该安全时间标记是 日期 时间证书 银行的证书证书参考 本证书由 参考安全标识细目证书持有者 银行安全标识细目证书发布者密钥名称银行的证书由认证机构 生成用于生成 银行证书的 的公共密钥是证书语法版本 服务
40、段目录的证书版本过滤涵数用十六进制过滤器过滤所有二进制值 密钥和数字签名源字符集编码 当生成证书时 证书凭证用 即 码 位进行编码表续用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值 撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是数据元分隔符值 加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是复合数据元分隔符值 冒号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值 星号用于签名的服
41、务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值 问号安全日期与时间日期与时间证书生成时间银行的证书生成于 年安全日期与时间日期与时间证书有效期的生效时间银行证书有效的开始时间为安全日期与时间日期与时间证书有效期的截止时间银行证书有效期的截止时间是安全算法 由 银行用于签名的非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指数银行的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数银行的模数算法参数算法参考限
42、定符算法参数值标识这个算法参数为 先生模数的长度 位数银行模数的的长度为 位安全算法 由 用于生成 银行证书的散列函数安全算法算法的使用密码操作方式算法使用发布者的散列算法使用适宜的散列函数 使用 位块密码算法的散列函数 来提供一个双倍长的散列代码 位 初始化值使用 报文文摘算法安全算法 用于签名的非对称算法表续安全算法算法的使用密码操作方式算法使用发布者签名算法这里没有相关的操作方式是非对称算法算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法
43、参数为 模数的长度 位数模数的长度是 位安全结果 证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名安全头 安全头包括了对所参考的实体 即 报文 实施安全功能的信息安全服务 代码 源抗抵赖性安全参考号本安全头的参考号是过滤函数用十六进制过滤器过滤所有二进制值 签名源字符集编码 当生成报文签名时 该报文用 即 码 位进行编码经安全处理的数据标识安全日期与时间 该 报文的安全时间标记是时间交换发送方交换发送方标识交换发送方的标识公司银行标识交换接收方交换接收方标识交换接收方的标识公司 先生的标识安全参考 涉及安全实体 确认的报文 及其相应日期和时间交换控制参考 标识确认的 报
44、文交换的参考号是交换发送方交换发送方标识 标识确认的报文交换的发送方是 公司的 先生交换接收方交换接收方标识 标识确认的报文交换的接收方是 银行报文参考号标由发送分配给确认的报文的参考号 见例安全日期与时间 该 的安全时间标记是 日期为 时间为参考的安全安全参考号标识可应用的头表完确认结果确认值限定符确认值确认的 报文的数字签名位过滤的十六进制数字签名安全尾安全参考号 该安全尾的参考号是安全段数安全段数为安全尾安全参考号 这个安全尾的参考号是安全段数安全段数为安全结果确认结果确认值限定符确认值的数字签名位过滤的十六进制数字签名附录提示的附录安全服务及算法目的的范围本附录给出了安全段组中数据元和
45、代码值可能组合的几种示例 所选择的这些示例是用来说明几种基于国际标准而被广泛应用的安全技术由于可组合的全集太大因此本附录不能全部列出 在此所做的选择不必认为是对该算法或操作方式的认可 用户可以根据所要防范的安全威胁选择合适的安全技术本附录的目的是一旦用户选定了安全技术 便向他提供一个基点以得到适合其特定应用的解决方案为便于阅读和理解本主题被分为三个部分 每个部分针对了应用安全的不同原则这三个部分是采用对称算法和参考实体的 报文的组合采用非对称算法和参考实体的 报文的组合采用确认 报文的组合各表中使用的代码清单完整代码表的子集安全服务代码型 过滤函数 代码型源抗抵赖性 过滤器报文的源鉴别参考的
46、结构的完整性算法的使用代码型 密码操作方式代码型持有者散列性 报文鉴别码持有者对称性 修改检查码发布者签名 散列功能发布者散列性持有者签名算法代码型 算法参数限定符数据加密标准 模数指数模数长度确认值限定符 安全参与方限定符唯一的确认值 报文发送方报文接收方证书持有者鉴别方使用的缩写安全参考号的表示法认证机构加密密钥散列值密钥名称报文鉴别码模数模数长度认证机构的公开密钥公开密钥签名采用对称算法和参考实体 报文的组合表 为下列特定情况建立了的关系由 报文向参考的实体提供保护只使用对称算法提供的安全服务是对于参考报文的参考 结构的源鉴别和 报文的报文源鉴别 参考的 结构源鉴别是通过参考的 结构完整
47、性和 的报文源鉴别的组合来提供的参考的 结构完整性是通过基于 算法的散列函数来提供的 该 算法按照采用 方式 在发送方和接收方没有共享的秘密密钥 该散列值在 中被传输且通过 报文上的安全性得以保护的报文源鉴别是通过对 报文计算一个 报文鉴别码来提供的 在本例中 所用的算法是使用秘密密钥的 方式的 该秘密密钥为报文接收方所知且只通过密钥名称来引用 本示例符合尽管发送方和接收方共享密钥 但是密码机制事先并未达到完全一致 因此所用的全部算法和操作方式要被明确地指定在此仅列出与实际使用的安全技术算法和操作方式相关的安全段表 当只采用对称算法时的关系矩阵标记 名称 状态 最大次数参考的结构完整性 报文源
48、鉴别 注每个安全服务 个安全头安全服务 代码型安全参考号过滤函数 代码型安全标识细目安全参与方限定符密钥名称安全标识细目安全参与方限定符安全算法安全算法算法的使用 代码型密码操作方式 代码型算法 代码型经安全处理的数据标识 经安全处理的数据结构的参考安全参考参考的安全安全参考号确认结果确认值限定符确认值安全尾安全参考号安全段数安全结果确认结果确认值限定符确认值表 完标记 名称 状态 最大次数参考的结构完整性 报文源鉴别 注注一个安全头参照 的安全尾 其他的安全头则参照 参考的安全 段报文发送方报文的发送方和接收方共享的秘密密钥名称报文接收方参照安全头之一对参考的 结构计算出的散列值 该值由 报
49、文计算出的 来保护参照安全头之一对 报文计算出的进一步的代码组合是可能的和需要的采用非对称算法和参考实体的 报文的组合表 为下列特定情况建立了的关系由 报文向参考的实体提供保护只使用对称算法提供的安全服务是对于参考报文的参考 结构的源抗抵赖性和 报文的报文源抗抵赖性 参考的 结构源抗抵赖性是通过参考的 结构完整性和的报文源抗抵赖性的组合来提供的非对称算法是散列函数是 方式的 算法 相同的散列函数用来计算参考的 结构的散列值和 报文的散列值假设证书事先未被交换段包含明确的散列函数和认证机构用来签署证书的签名函数的标识 检查证书签名所需的认证机构的公开密钥接收方已经知道 它由 段中的名称指出只包含一个证书 仅当使用接收方的公开密钥时第二个证书才是必要的表 使用非对称算法时的关系矩阵标记 名称 状态 最大次数参考的结构完整性报文的源抗抵赖性 注每个安全服务 个安全头安全服务 代码型安全参考号过滤函数 代码型安全标识细目安全参与方限定符表 续标记 名称 状态 最大次数参考的结构完整性报文的源抗抵赖性 注安全标识细目安全参与方
