1、ICS 35,24060L 70 囝雷中华人民共和国国家标准GBT 1 48056-2007IS0 97356:2002代替GP,T 1480561999行政、商业和运输业电子数据交换(EDIFACT) 应用级语法规则(语法版本号:4,语 法发布号:1) 第6部分:安全鉴别和确认报文(报文类型为AUTACK)Electronic data interchange for administration,commerce andtransport(EDIFACT)-Application level syntax rules(Syntax versionnumber:4,Syntax releas
2、e number:1)-Part 6:Secure authentication andacknowledgement message(message type-AUTACK)(ISO 97356:2002,IDT)宰瞀粥紫瓣訾糌瞥星发布中国国家标准化管理委员会反仲GBT 148056-2007I$0 97356=2002目 次前言IISO前言引言1范围“l2一致性13规范性引用文件“14术语和定义z5安全鉴别和确认报文的使用规则251功能定义z52应用领域z53原则z54报文定义3附录A(资料性附录)AUTACK报文示例7A1引言7A2示例1;由一个AUTACK报文提供的源抗抵赖性服务7A2
3、1叙述7A22安全细目”7A3示例2:用AUTACK保护多个报文10A31叙述+10A32安全细目1IA4示例3:通过AUTACK报文实现接收报文的安全确认14A41叙述14A42安全细目15附录B(资料性附录)安全服务及算法19B1 目的和范围19B2采用对称算法和参考实体AUTACK报文的组合20B3采用非对称算法和参考实体的报文的组合21B4采用确认AUTACK报文的组合24参考文献25前 言GBT 148056-2007ISO 97356:2002GBT 14805(行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号:4,语法发布号:1)由下列部分组成:第1部分
4、:公用的语法规则第2部分;批式电子数据交换专用的语法规则;第3部分:交互式电子数据交换专用的语法规则;第4部分:批式电子数据交换语法和服务报告报文(报文类型为CONTRL);第5部分:批式电子数据交换安全规则(真实性、完整性和源抗抵赖性);第6部分:安全鉴另0和确认报文(报文类型为AuTAcK);第7部分:批式电子数据交换安全规则(保密性);第8部分:电子数据交换中的相关数据;第9部分:安全密钥和证书管理报文(报文类型为KEYMAN);第10部分:语法服务目录。将来还有可能增加新的部分。本部分为GBT 14805的第6部分。本部分等同采用ISO 97356;2002(行政、商业和运输业电子数据
5、交换(EDIFACT)应用级语法规则(语法版本号:4,语法发布号:1)第6部分:安全鉴别和确认报文(报文类型为AUTACK)。本部分代替GBT 1480561999。本部分与GBT 1480561999相比主要变化如下:对ISO前言和本部分的引言部分进行了更新与以前版本相比,在术语和段组的使用说明上有些变化;在本部分第5章增加了一个图,用来描述交换中AUTACK(安全鉴别和确认报文)报文的用法;删除了上一版国家标准中附录A“语法服务目录”和附录B“服务代码目录”,并对一些编辑性的错误进行了修正。本部分的附录A和附录B为资料性附录。本部分由中国标准化研究院提出。本部分由全国电子业务标准化技术委员
6、会归口。本部分由中国标准化研究院负责起草。本部分的主要起草人:胡涵景、任冠华、曹新九、章建方、刘颖、孙文峰、岳高峰。本部分于1999年第一次发布。GBT 148056-2007ISO 97356:2002ISO前言IsO(国际标准化组织)是一个世界性的各国标准机构(Iso国家成员体)联盟。国际标准酌制定工作一般通过ISO技术委员会完成。对某个已建立的技术委员会的项目感兴趣的每个成员体,有权对该技术委员会表述意见。任何与ISO有联络关系的官方和非官方的国际组织都可直接参与制定国际标准。ISO与IEC(国际电工委员会)在电工技术标准的所有领域密切合作。应按照IsOIEc导则第3部分的规则起草国际标
7、准。技术委员会的主要任务是起草国际标准。由技术委员会正式通过的国际标准草案在被ISO理事会接受为国际标准之前,须分发到各成员体进行表决,按照ISO的工作程序,至少75的成员体投票赞成后,该标准草案才成为国际标准。应当注意的是本部分可能涉及到专利。ISO不负责标识这些专利。本部分由IsOTc 154(商业、工业和行政中的过程、数据元和单证)与UNCEFACT联合语法工作组合作起草。本部分取代第一版标准(ISO 97356:1998)。而在本部分第2章提到的ISO 9735:1988及其1992年第1号修改单只是被临时性地保留。另外,为了更好地进行维护,已经将ISO 9735各部分中的语法服务目录
8、取消,并将它们重新组合成一个新的部分,即:IsO 973510。在1SO 97351:1998发布的时候,已经将IsO 973510分配为“交互式EDI安全规则”部分。由于缺乏用户的支持,这部分内容被撤销,因此在本部分中删除了所有与“交互式EDI安全规则”有关的参考。在IsO 9735各部分中的术语和定义被重新编排并被放在IsO 97351中。ISO 9735在行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号:4,语法发布号:1)的总标题下由下列几部分组成:第1部分:公用的语法规则;第2部分:批式电子数据交换专用的语法规则第3部分:交互式电子数据交换专用的语法规则,第
9、4部分:批式电子数据交换语法和服务报告报文(报文类型为CONTRL);第5部分:批式电子数据交换安全规则(真实性、完整性和源抗抵赖性);第6部分:安全鉴别和确认报文(报文类型为AuTAcK);第7部分:批式电子数据交换安全规则(保密性);第8部分:电子数据交换中的相关数据I第9部分:安全密钥和证书管理报文(报文类型为KEYMAN);第10部分:语法服务目录。将来还有可能增加新的部分。本部分的附录A和附录B为资料性附录。引 言GBT 148056-2007IS0 9735-6:2002根据批式或交互式处理的需求,本部分包含了用于在开放环境中的电子报文交换中的结构化数据的应用级规则。联合国欧洲经济
10、委员会(UNECE)已经同意把这些规则作为用于行政、商业和运输业电子数据交换(EDIFACT)的应用级语法规则。这些规则是联合国贸易数据交换目录(UNTDID)的一部分。uNTDID还包含批式和交互式报文设计指南。通信规范及协议不在本部分的范围之内。本部分是GBT 14805新增加的部分。它通过给出一个鉴别和确认报文的方法来为一个批式EDIFACT结构(即报文、包、组或交换)的可选功能提供保护。GBT 148056-2007ISO 9735-6:2002行政、商业和运输业电子数据交换(EDIFACT) 应用级语法规则(语法版本号:4,语法发布号:1)第6部分:安全鉴别和确认报文(报文类型为AU
11、TACK)1范围本部分给出了安全鉴别和确认报文(报文类型为AUTACK)的定义。2一致性尽管本部分应在段UNB(交换头)中出现的必备型数据元0002(语法版本号)中使用版本号“4”,和条件型数据元0076(语法发布号)使用发布号“01”,但是,为了能够与本部分相区90,继续使用早期版本中语法规则的交换应使用下列语法版本号:ISO 9735:1988:语法版本号1;IsO 9735:1988(1990年修改并且重新印刷):语法版本号:2;IsO 9735:1988及其1992年第1号修改单:语法版本号:3;IsO 9735:1998:语法版本号:4。与某个标准的一致性意味着支持其包括所有选项的所
12、有需求。如果不支持所有选项,则任何一致性声明应包含一个说明,用于标识那些声明与其一致的选项。如果所交换的数据的结构和表示符合本部分规定的语法规则,则这些数据处于一致性状态。当支持本部分的设备能够创建和或解释其结构和表示与本部分一致的数据时,这些设备处于一致性状态。与本部分的一致性应包括与GBT 148051、GBT 148052、GBT 148055和GBT 1480510的一致性。当在本部分中标识出在相关标准中定义的条款时,这些条款应构成一致性判定条件的组成部分。3规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或
13、修订版均不适用于本部分。然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注ft期的引用文件其最新版本适用于本部分。GBT 1480512007行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号:4,语法发布号:1)第1部分:公用的语法规则(ISO 9735一l:2002,IDT)GBT 1480522007行政、商业和运输业电子数据交换(EDIFAcT)应用级语法规则(语法版本号:4,语法发布号:1)第2部分:批式电子数据交换专用的语法规则(IsO 9735-2:2002,IDT)GBT 1480552007行政、商业和运输业电子数据交换(ED
14、IFACT)应用级语法规则(语法版本号:4,语法发布号;1) 第5部分:批式电子数据交换安全规则(真实性、完整性和源抗抵赖性)(ISO 9735-5:2002,IDT)GBT 1480510一2005用于行政、商业和运输业电子数据交换的应用级语法规则 第lo部分;语法服务目录(ISO 9735-10:2002,IDT)1GBT 1 48056-2007IS0 9735-6:20024术语和定义GBT 14805I一2007确立的术语和定义适用于本部分。5安全鉴别和确认报文的使用规则51功能定义AUTACK是鉴别发送的交换、组、报文或包的报文,或对所接收到的交换、组、报文或包提供安全确认的报文。
15、安全鉴别和确认报文能用于:对报文、包、组或交换提供安全鉴别、完整性或源抗抵赖性;对被安全处理的报文、包、组或交换提供接收的安全确认或接收的抗抵赖性。52应用领域安全鉴别和确认报文适用于国内贸易和国际贸易。它是基于行政、商业和运输业相关领域内的国际惯例,而不受业务或行业类型的限制。53原则531概述所应用的安全规程应由交换协议中进行贸易的参与方商定。安全鉴别和确认报文(AuTACK)将其安全服务应用于其他EDIFACT结构(包括报文、包、组或交换),并且对经安全处理的EDIFACT结构提供安全确认。它还适用于贸易双方问需要安全处理的EDIFAC,r结构组合。通过适用于原始EDIFACT结构内容中
16、的加密机制来提供安全服务。这些加密机制处理的结果形成了AUTACK的报文体并由相关数据(如所用的加密方法的参考、EDIFACT结构的参考号以及原始结构的日期和时间)补充。AUTACK报文应使用标准的安全头段组和安全尾段组。AUTACK报文适用于一个或多个交抉中的一个或多个报文、包或组,或者适用于一个或多个交换。图l给出了把AUTACK报文与其他一个或多个报文一起使用的交换。图1给出了在报文级(语义级)使用AUTACK报文说明安全性的交换。图1 在报文级(语义级)使用AUTACK报文说明安全性的交换532鉴别功能的AUTACK的用法5321概述用作鉴别报文的AUTACK报文应由一个或多个其他ED
17、IFACT结构的发起方或有权代表发起方2GBT 148056-20071S0 97358:2002的参与方来发送。其目的是简化GBT 1480552007中所定义的安全服务,即相关EDIFACT结构的真实性、完整性和源抗抵赖性。AUTACK鉴别报文能够以两种方法实现。第一种方法是传输参考的EDIFACT结构的哈希值,该结构是由AUTACK自身进行安全处理的;第二种方法是用AUTACK只传输参考的EDIFACT结构的数字签名。5322使用所引用EDIFACT结构的哈希值的鉴别经安全处理的EDIFACT结构应在USX段(安全参考)出现时参考。对于每个USX将至少出现一个相对应的USY段(参考的安全
18、性),它包括参考的EDIFACT结构实施安全功能的安全结果,例如哈希值。所实施的安全功能细目应包含在这个AUTACK的安全头段组中。用于参考的EDIFACT结构的USY和USH段应通过使用两个段中的数据元安全参考号来链接。最后一步,在AUTACK中传输的所有信息应通过至少使用一对安全头段组和安全尾段组加以安全处理。注,AUTACK使用USX段来引用一个或多个交换中的一个或多个报文,包或组,或者参考一个完整的交换。对于每一个USX段,相应的USY段包含应用于参考的EDIFAC21结构的哈希结果、鉴别及抗抵赖方法。5323使用所引用EDIFACT结构的数字签名的鉴别经安全处理的EDIFACT结构应
19、在USX段(安全参考)出现时被引用。对于每一个USX段,至少应出现一个相对应的USY段(参考的安全性),且该段包含参考的EDlFACT结构的数字签名。关于所执行的安全功能细目应包含于本AUIACK安全头段组中。由于可对单个参考的EDIFACT结构进行多次安全处理,所以应通过在这两个段中使用数据元安全控制参考号将有关的USY段和安全头段组链接起来。如果参考的EDlFACT结构的数字签名包含于AUTACK(而不是一个哈希值)中,则Au 7FACK报文本身不需要进行安全处理。533确认功能的AUTACK的用法用作确认报文的AUTACK报文应由已接收一个或多个经安全处理过的EDIFACT结构的接收方发
20、送,或由有权代表接收方的一方发送。其目的是简化对相关的EDIFACI、结构实现接收确认、内容完整性的确认、完整性确认及接收的抗抵赖性。确认功能只适用于经安全处理的EDIFACT结构。这个经安全处理过的EDIFACq结构应在一个USX段(安全参考)出现时参考。对于每一个USX来说,至少应出现一个相应的USY段。该USY段或者包含哈希值,或者包含参考的EDIFACT结构的数字签名。通过使用数据元安全参考号应将USY段与参考的EDIFACT结构的安全头段组或与对EDIFACT结构进行安全处理的AUTACK报文的安全头段组链接起来。这个与参考的EDIFACT结构相对应的安全头包括了由原始报文的发送方对
21、参考的EDIFACT结构实施的安全功能细目。作为产生确认报文的最后一步,在AUTACK中传输的所有信息应由至少一对安全头段组和安全尾段组来进行安全处理。在安全验证失败时,AUTACK也用于非确认功能。注:安全确认仅对经过安全处理的EDIFACT结构有意义。对EDWACT结构进行安全处理是通过集成的安全段组(参见GBT 1480552007)或通过AUTACK鉴别来实现的。为了避免无限循环,用于确认功能的AUTACK不应要求其接收方发回AUTACK确认报文。54报文定义541数据段说明0010 UNH,报文头开始并唯一标识报文的服务段。3GBT 14805,6-20071S0 97356:200
22、2002000300040005000600070安全鉴别和确认报文的报文类型代码为AUTACK。数据元报文类型子功能标识用来指明AUTACK功能的用法,如鉴别、确认或拒绝确认。符合本部分的报文必须在UNH段和复合数据元S009中包含下列数据:数据元0065 AUTACK0052 40054 10051 UN段组1:USHUSA-SG2(安全头段组)本段组标识了所采用的安全服务和安全机制,并包含了执行确认计算所需的数据(见GBT 148055 2007中的定义)。本段组应规定应用于AUTACK报文或参考的EDIFAcT结构的安全服务和算法。每个安全头段组应与一个安全尾段组相链接,并且某些安全头
23、段组可以另外与USY段相链接。USH,安全头本段规定了应用于包含本段的报文包,或应用于参考的EDlFACT结构的安全服务(见GBT 148055 2007定义)。安全服务数据元应规定AUTACK报文或参考的EDIFACT结构所采用的安全服务:报文源鉴别和源的抗抵赖性安全服务仅适用于AUTACK报文本身;参考的EDIFACT结构完整性、参考的EDIFACT结构源鉴别和参考的EDIFACT结构源抗抵赖性等安全服务只能由发送方用来对AUTACK参考的EDlFAcT结构进行安全处理;接收鉴别和接收的抗抵赖性安全服务只能由经过安全处理的EDIFACT结构的接收方对确认进行安全处理。应按照GBT 1480
24、55中的有关规定说明安全服务的安全应用范围。在一个AUTACK报文中,允许有4种安全应用范围:前两种范围见GBT 1480552007第5章的定义;第三种范围包括全部EDIFACT结构,其中安全应用范围是从参考的报文、包、组或交换的第一个字符(即“U”)开始到报文、包、组或交换的最后一个字符为止;第四种范围是用户定义,即安全应用在发送方与接收方之间的协议中定义。usA,安全算法本段标识了安全算法及由该算法所产生的技术用法,并包含了所需的技术参数(见GBT 1480552007定义)。段组2:USG-USA-USR(证书段组)当使用非对称算法时,本段组包含了用来验证应用于报文包的安全方法所需的数
25、据(见GBT 1480552007定义)。USC,证书本段包含证书持有者的凭证,并标识生成该证书的认证机构(见GBT 1480552007定义)。usA,安全算法本段标识了安全算法及由该算法所产生的技术用法,并包含了所需的技术参数(见GBT 1480552007定义)。USR,安全结果本段包含认证机构应用于证书的安全功能的结果(见GBT 1480552007定义)。GBT 148056-2007IS0 9735-6:20020090 USB,经安全处理的数据标识本段应包含交换发送方和交换接收方的标识及与这个AUTACK安全性有关的时戳,并且它应规定是否需要来自这个AUTACK报文接收方的一个安
26、全确认。如果要求,这个报文发送方将希望得到一个报文接收方发送回来的AUTACK确认报文。在USB中的交换发送方和交换接收方应参考出现AUTACK的交换中的发送方和接收方,以便保证这个信息的安全性。0100 段组3:USX_USY本段组用来标识安全进程中的参与方,并提供有关参考的EDIFACT结构的安全信息。0110 USX,安全参考本段应包含安全进程中所涉及的参与方的参考。复合数据元安全日期和时问可出现包含参考的EDIFAcT结构的最初生成日期和时间。如果只出现数据元0020,而没有0048、0062和0800,则参考整个交换。如果出现数据元0020和0048。而没有出现0062和0800,则
27、参考该组。0120 USY,参考的安全本段包含一个与安全头段组的链接,以及按照被链接的安全头段组中所规定的安全服务应用于参考EDFACT结构的结果。当通过相同的安全服务并采用相同的安全参数对多个参考的EDIFACT结构进行安全处理时,多个USY段可以与相同的安全头段相链接。在这种情况下,安全头段组和相关多个USY之问的链接值应是相同的。当Au7rACK用于确认功能时,相应的安全头段组应参考的EDIFAC7r结构的安全头段组,或者是用于向参考的EDIFACT结构提供鉴别功能的AUTAcK报文的安全头段组。在一个USY段中数据元0534的值应与以下两种情况相对应的USH段中0534的值完全相同:如
28、果使用鉴别功能,则是当前的AUrACK(安全服务:参考的EDIFACT结构真实性、参考的EDIFACT结构的完整性或参考的EDIFACT结构的源抗抵赖性);如果使用确认功能,则是参考的EDIFACT结构本身,或者向参考的EDFIACT结构提供鉴别功能的Au7FACK报文(安全服务:接收的抗抵赖性或接收鉴别)。0130 段组4:usT-usR(安全尾段组)本段组包含与安全头段组的链接和应用于报文包的安全功能的结果(见GBT 148055-Z007定义)。如果安全尾段组与某个参考的EDIFACT结构相关的安全头段组相链接,则可省略USR段。在这种情况下,相应的安全功能结果应能在链接到相应安全头段组
29、的USY段中找到。0140 UST,安全尾本服务段在安全头段组与安全尾段组间建立一个链接,并说明包含在这些组中的安全段的数目(见GBT 1480552007定义)。0150 USR,安全结果本段包含适用于在所链接的安全头段组中进行规定的(见GBT 148055-2007定义)报文包的安全功能的结果。在这个段中,安全结果应适用于AUTACK报文本身。0160 UNT,报文尾本段结束一个报文,并给出段的总数和报文的控制参考号。542报文结构表I给出了段表。GBT 14805,6-2007IS0 9735-6:20026位置00100020003000400050006000700080009001
30、00011001200i30014001500160标记UNHUSHUSAUSCUSAUSRUSBUSXUSYUSTUSRUNT表1段表名称报文头段组1安全头安全算法段组2证书安全算法安全结果经安全处理的数据标识段组3安全参考参考的安全段组4一安全尾安全结果报文尾注:AuTAcK报文的报文体由USB段和段组3构成。i13 ;:!ol9991ll魄MMMccMccMMMMMMcM附录A(资料性附录)AUTACK报文示例GBT 148056-2007ISO 9735-6:2002A1 引言本附录提供三个示例来解释AUTACK报文的不同应用。第一个示例说明了在提供源抗抵赖性的安全服务时,如何使用AU
31、TACK报文来保护前面发送的报文。这需要AUTACK确认报文。第二个示例说明了一个AUTACK报文如何用不同安全服务来保护两个报文:一个报文发起方的抗抵赖,对另一个报文的源鉴别。第三个示例解释了用于安全确认的AUTACK报文的用法。它说明了在第一个示例中由AUTACK报文所要求的ALTTACK确认报文。A2 示例1:由一个AUTACK报文提供的源抗抵赖性服务A21叙述当付款通知报文超过一定数量时,A银行需要由A公司的Smith先生来对A公司的付款通知报文实施源抗抵赖性的安全服务。双方间的交换协议规定了A银行所要求的源抗抵赖性安全服务应由A公司的Smith先生用数字签名的方式对这些付款通知报文实
32、施加密来完成。双方都同意这个数字签名是通过512位RSA(非对称算法)对由MD5算法算出的哈希值进行计算生成的。标识Smith先生公开密钥的证书由双方都信任的AuTHORITY机构(即证书的发布者)发布。在这些条件下,由于PAYORD(付款通知报文)的数字签名被包含在AUTACK报文中,因此AUTACK本身不需要被签名。由AUTACK保护的PAYORD报文是Smith先生发给A银行首次交换中的第三个报文。它于1996年1月15 El 10:00生成。该AUTACK本身是交换中的第五个报文,它由1996年1月15 El 10:05:32生成。出现的安全段如下:指示对PAYORD报文应用安全服务的
33、USH段;USC-USAUSAUSAUSR,Smith先生的证书;USB:一一带有(PAYORD报文的)安全参考和安全结果的USXUSY;usT,没有USR,参考USH。A22安全细目安全头安全服务,代码型 源抗抵赖性安全参考号 本安全头的参考号是1应答类型 要求确认tl过滤函数 用十六进制的过滤器过滤所有的二进制值(签名)7GBT 1 48056-2007IS0 97356:2002源字符集编码 当生成报文签名时,报文用ASCII 8位进行编码证书 Smith先生的证书证书参考 本证书由AUTHORITY引用:00000001安全标识细目安全参与方标识符 证书持有者(A公司的Smith先生)
34、安全标识细目安全参与方标识符 Smith先生的证书由认证机构AUTHORITY生成密钥名称 用于生成Smith证书的AUTHORITY公共密钥是PKl证书的语法和版本 UNEDIFACT服务段目录的证书版本过滤器函数 用十六进制过滤器过滤所有二进制值(密钢和数字签名)源字符集编码 当生成证书时。证书使用ASCII 8位进行编码用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是段终止符用于签名的服务字符 值训”(撤号)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是数据元分隔符用于签名的服务字符 值“+”(加号)用于签名的服务字符 计
35、算签名时所用的服务字符用于签名的服务字符限定符 服务字符是复合数据元分隔符用于签名的服务字符 值“:”(冒号)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是重复分隔符用于签名的服务字符 值。*”(星号)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是释放分隔符用于签名的服务字符 值“?”(问号)安全日期与时间 证书生成时间日期与时间 Smith先生证书于1993年12月15日14 z 12 l 00生成安全日期与时间 证书有效期的生效时间日期与时间 Smith先生证书有效期的生效时间是t1996年1月1日00:00:00安全日期
36、与时问 证书有效期的截止时间日期与时间 Smith先生证书有效期的截止时间是:1996年12月31日23-59t 59安全算法 由Smith先生用于签名的非对称算法安全算法算法的使用 使用持有者签名算法密码操作方式 这里没有相关的操作方式算法 RSA是非对称算法8GBT 148056-2007IS0 9735-6:2002算法参数算法参数限定符 标识这个算法参数为一个签名验证的公共指数算法参数值 Smith先生的公开密钥算法参数算法参数限定符 标识这个算法参数为一个签名验证的模数算法参数值 Smith先生的模数算法参数算法参数限定符 标识这个算法参数为Smith先生模数的长度(位数)算法参数值
37、 Smith先生模数的长度为512位安全算法 AUTHORITY用于生成Smith先生证书的哈希函数安全算法算法的使用 使用发布者的哈希算法密码操作方式 使用适宜的哈希函数(1SOIEC i0118 2使用n位块密码算法的哈希函数)来提供一个双倍长的哈希代码(128位)I初始化值:A一01234567 B一89ABCI)EFC=FEDCBA98 D一76543210算法 使用MD5报文一文摘算法安全算法 AUTHORITY用于签名的非对称算法安全算法算法的使用 使用发布者签名算法密码操作方式 这里投有相关的操作方式算法 RSA是非对称算法算法参数算法参数限定符 标识这个算法参数为一个签名验证的
38、公共指数算法参数值 AUTHORITY的公开密钥算法参数算法参数限定符 标识这个算法参数为一个签名验证的模数算法参数值 AUTHORITY的模数算法参数算法参数限定符 标识这个算法参数为AUTHORITY模数的长度(位数)算法参数值 AUTHORITY模数的长度是512位安全结果 证书的数字签名确认结果确认值限定符 唯一的验证值为l确认值 512位过滤的十六进制数字签名经安全处理的数据标识应答类型,代码型 需要一个来自A银行的安全确认安全日期与时间日期和时间 与AUTACK时戳相关的安全事件日期 AUTACK的安全时戳是:日期:1996年1月15日事件时间 时间:10:05:329GBT 1
39、48056-2007ISO 9735-6:2002交换发送方 交换发送方的标识交换发送方标识 A公司Smith先生的标识交换接收方 交换接收方的标识交换接收方标识 A银行的标识安全参考 涉及安全实体(具有源抗抵赖性服务相关的PAYORD)及其相应El期和时间交换控制参考 标识发送方分配给PAY()RD报文交换的参考号:l交换发送方交换发送方标识 标识PAYORD报文交换的发送方是:A公司的Smith先生交换接收方交换接收方标识 标识PAYORD报文交换的接收方是:A银行报文参考号 标识发送方分配给PAYORD报文的参考号:3安全日期与时间日期和时间 与参考PAYORD的时戤相关的安全事件El期
40、 本安全时戳是:日期z1996年1月15日事件时间 时同:lOt 00:00参考的安全 标识可用的安全头(涉及PAYOR)报文所应用的安全功能)和PAYORD报文应用这些功能后的结果安全参考号 将确认结果同相应的USH段连接起来的参考号。在本例中,该值为1确认结果确认值限定符 唯一的验证值为l确认值 512位过滤的十六进制数字签名(PAYORD报文)安全尾安全参考号 本安全尾的参考号是1安全段数 安全段数为7A3示例2:用AUTACK保护多个报文A31叙述当付款通知报文超过一定数量时,A银行需要由A公司的Smith先生来对A公司的付款通知报文实施源抗抵赖性的安全服务。对于那些未超出该数量的付款
41、通知报文,则需要报文源鉴别功能。双方闯的交换协议规定了A银行所要求的源抗抵赖性安全服务应由A公司的Smith先生用数字签名的方式对这些付款通知报文实施加密来完成。双方都同意这个数字签名是通过512位RsA(非对称算法)对由MD5算法算出的哈希值进行计算生成的。此外。报文的源鉴别将在发送方端按照ISO 8731-1通过使用对称的DES算法生成一个“报文鉴别码”(MAc)来实现。标识Smith先生公开密钥的证书由双方都信任的认证机构(即证书的发布者)发布。发送的第一个PAYORD报文必须通过AUTACK用数字签名方式加以保护。这个PAYORD报文是Smith先生发给A银行首次交换中的第五个报文。它
42、是在1996年1月15日08:00:00发送的。发送的第二个PAYORD报文必须通过AuTAcK用MAC方式加以保护。它是首次交换中的第七个报文,于1996年1月15日09:00;00发送。10GBT 148056-2007ISO 9735-6:2002AUTACK报文本身是首次交换中的第十个报文。它是在1996年1月15日10:05:32发送的。由于第一个PAYORD报文是用数字签名方式加以保护的,AUTAcK本身不需要被签名。因此,所出现的安全段如下:指示对第一个PAYORD报文应用源的抗抵赖性服务的USH段;一一usCUSAUSAUSA USR。Smith先生的证书;指示对第二个PAYO
43、RD报文应用报文源鉴别服务的USH段;USB;带有第一个PAYORD报文安全参考和安全结果(数字签名)的USXUSY;带有第二个PAYORD报文安全参考和安全结果(MAC)的USXUSY;UST,没有USR,参考第一个USH;usT,没有USR,参考第二个USH。A32安全细目安全头 安全头包括了对所参考的实体(即第一个PAYORD报文)实施安全功能的信息安全服务。代码型 第一个PAYORD报文的源的抗抵赖性安全参考号 本安全头的参考号是1过滤函数 用十六进制过滤器过滤所有二进制的值(签名)源字符集编码 当生成报文签名时,报文用ASCII 8位进行编码安全标识细目安全方限定符 报文发送方为A公
44、司的Smith先生安全标识细目安全方限定符 报文接收方为A银行证书 Smith先生的证书证书参考 本证书由AUTHORITY引用:00000001安全标识细目安全参与方标识符 证书持有者(A公司的Smith先生)安全标识细目安全参与方标识符 证书发布者(Smith先生的证书由认证机构AUTHORITY生成)密钥名称 用于生成Smith证书的AUTHORITY公共密钥是PKl证书语法版本 UNEDIFACT服务段目录的证书版本过滤函数 用十六进制过滤器过滤所有二进制值(密钥和数字签名)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是段终止符用于签名的服务字符 值引
45、”(撇号)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是数据元分隔符用于签名的服务字符 值“+”(加号)用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是复合数据元分隔符用于签名的服务字符 值“:”(冒号)GBT 148056-20071S0 97356:2002用于签名的服务字符 计算签名时所用的服务字符用于签名的服务字符限定符 服务字符是重复分隔符用于签名的服务字符 值“*”(星号)用于签名的服务字符 计算签名耐所用的服务字符用于签名的服务字符限定符 服务字符是释放分隔符用于签名的服务字符 值“?”(问号)安全E1期和时间 证书生成时间日期和时问 Smith先生证书于1993年12月15日14:12:00生成的安全日期和时间 证书有效期的生效时间日期和时间 Smith先生证书有效期的开始时间是:1996年1月1日00:00
