1、中华人民共和国国家标准用于行政 商业和运输业电子数据交换的应用级语法规则 语法版本号第 部分 批式电子数据交换安全规则保密性发布 实施国家质量技术监督局 发布前言本标准等同采用 用于行政商业和运输业电子数据交换的应用级语法规则语法版本号 第 部分 批式电子数据交换安全规则 保密性系列标准在用于行政商业和运输业电子数据交换的应用级语法规则语法版本号的总标题下包括下列 个部分第 部分各部分公用的语法规则及每部分的语法服务目录第 部分批式电子数据交换专用的语法规则第 部分交互式电子数据交换专用的语法规则第 部分批式电子数据交换语法和服务报告报文报文类型为第 部分批式电子数据交换安全规则真实性完整性和
2、源抗抵赖性第 部分安全鉴别和确认报文报文类型为第 部分批式电子数据交换安全规则保密性第 部分电子数据交换中的相关数据第 部分密钥和证书管理报文报文类型为第 部分交互式电子数据交换安全规则将来还有可能增加新的部分对应于 第四版它的发布与实施 不影响我国 年根据制定的国家标准本标准由中华人民共和国国家信息化办公室提出本标准由全国文件格式和数据元标准化技术委员会全国信息技术标准化技术委员会归口本标准起草单位邮电部数据通信技术研究所电子工业部标准化研究所中国标准化与信息分类编码研究所本标准主要起草人张泽忠 吴志刚 王颜尊刘碧松张萍徐冬梅王欣 苑琳前言国际标准化组织是一个世界性的各国标准机构 国家成员体
3、 联盟 国际标准的制定工作一般通过 技术委员会完成 对某个已建立的技术委员会的项目感兴趣的每个成员体 有权对该技术委员会表述意见 任何与 有联络关系的官方和非官方的国际组织都可直接参与制定国际标准 与 国际电工委员会 在电工技术标准的所有领域密切合作由技术委员会正式通过的国际标准草案在被 理事会接受为国际标准之前 须分发到各成员体进行表决按照 的工作程序在得到至少 的成员体投票赞成之后 该标准草案才成为国际标准本国际标准 第四版由联合国欧洲经济委员会第四工作组 起草 作为的组成部分 由 行政 商业和工业中的单证和数据元通过快速表决程序采纳为现行标准在联合国用于行政 商业和运输业的电子数据交换应
4、用级语法规则 的总标题下由下列几部分组成各部分公用的语法规则及每部分的语法服务目录批式电子数据交换专用的语法规则交互式电子数据交换专用的语法规则批式电子数据交换语法和服务报告报文报文类型为批式电子数据交换安全规则真实性 完整性和源抗抵赖性安全鉴别和确认报文报文类型为批式电子数据交换安全规则保密性电子数据交换中的相关数据密钥和证书管理报文报文类型为交互式电子数据交换安全规则将来还有可能增加新的部分引言根据批式或交互式处理的需求 本标准包含了用于结构化在开放环境中交换的电子报文中的数据的应用级规则 联合国欧洲经济委员会 已经同意把这些规则作为用于行政商业和运输业电子数据交换 的应用级语法规则 这些
5、规则是联合国贸易数据交换目录 的一部分 还包含批式和交互式报文设计指南通讯规范及协议不在本标准的范围之内本标准是 新增加的部分 它提供了 结构报文包 组或交换保密性的可选能力中华人民共和国国家标准用于行政 商业和运输业电子数据交换的应用级语法规则 语法版本号第 部分 批式电子数据交换安全规则保密性国家质量技术监督局 批准 实施范围本标准按照所建立的安全机制规定了报文 包级 组级和交换级的保密性一致性与一个标准一致意味着支持其所有需求包括所有选项 如果不是所有选项都被支持则任何一致性声明都应包含一个说明 用于标识那些被声明为与其一致的选项如果所交换的数据的结构和表示符合本标准中规定的语法规则 则
6、这些数据处于一致性状态当支持本标准的设备能创建和或解释其结构和表示与本标准一致的数据时这些设备处于一致性状态与本标准的一致应包含与 和 的一致当在本标准中标识出在相关标准中定义的条款时 这些条款应构成一致性判定条件的组成部分引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文 本标准出版时所示版本均为有效 所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术 开放系统中的安全框架 第 部分保密性定义本标准采用的定义见 的附录 和 的附录批式 保密性规则保密性附录 和附录 描述了与 数据传送有关的安全威胁及针对这些威胁的安全服务本条描述了向 结构提供保密性安
7、全服务的解决方案通过适当的加密算法对报文体客体 报文 包或单个的报文包组进行加密 并连同任意安全头段组和安全尾段组一起来提供 结构报文包段组或交换 的保密性 该加密数据可能被过滤以便在限定能力的通信网中使用批式 的保密性交换的保密性图 表示了一个通过保密性进行安全处理的交换的结构 服务串通知 交换头段 和交换尾段 不受加密的影响 如果使用压缩技术应在加密前使用要在安全头段组中规定加密算法压缩算法和过滤算法及相关参数图 内容报文 包或组已被加密的一个交换的结构示意图组的保密性图 表示了一个包含有一个加密组的交换的结构对于其他的安全服务这个加密组已经过安全处理 组头 和组尾 不受加密的影响如果使用
8、压缩技术应在加密前使用要在安全头段组中规定加密算法压缩算法和过滤算法及相关参数图 包含有其内容组体及其相应的安全头段组和安全尾段组已被加密的一个组的一个交换的结构报文的保密性图 表示了一个包含有一个加密报文的交换的结构对于其他的安全服务该加密报文已经过安全处理 报文头段 和报文尾段 不受加密的影响如果使用压缩技术应在加密前使用要在安全头段组中规定加密算法压缩算法和过滤算法及相关参数图 包含有其内容报文体及其相应的安全头段组和安全尾段组已被加密的一个报文的一个交换的结构示意图包的保密性图 表示了一个包含有一个加密包的交换的结构对于其他安全服务该加密包已经过安全处理 包头段 和包尾段 不受加密的影
9、响如果使用压缩技术应在加密前使用要在安全头段组中规定加密算法压缩算法和过滤算法及相关参数图 包含有其内容客体及其相应的安全头段组和安全尾段组已被加密的一个包的一个交换的结构示意图数据加密头段和尾段的结构见图图 安全头段组和安全尾段组的段表注 和 段在 中进行了规定 在本部分中 对它们不做进一步说明数据段说明段组 安全头段组本段组标识了所采用的安全服务和安全机制并包含了执行确认计算所需的数据这里只应含有一个用于保密性的安全头段组安全头本段规定了应用于包括本段在内的 结构的保密性安全服务 见 中的定义安全算法本段标识了安全算法及该算法的用法并且包含了所需的技术参数 该算法应是应用于报文体客体报文包
10、或报文 包组的算法 这些算法应是持有者对称算法持有者压缩算法或持有者压缩完整性算法非对称算法不应直接在段组 中的 段内引用只可在 段触发的段组 中出现如果在加密之前对数据进行压缩 则用于规定算法和可选的操作方式 附加的参数如初始目录树 可规定为 段中的参数值如果采用压缩且所采用的压缩算法不包含内嵌的完整性验证 则可用 段进行规定 完整性验证值是加密前通过压缩的文本计算得到的 在压缩数据内完整性验证值的位置即 位位组偏移值可规定为参数值 完整性验证值的大小以 位位组为单位则通过所采用的完整性验证算法间接地给出段组 证书段组当使用非对称算法时本段组包含了用来验证应用于 结构的安全方法所需的数据 见
11、的定义证书本段包含证书拥有者的凭证 并标识生成该证书的认证机构见 中的定义安全算法本段标识了安全算法及该算法的用法并且包含了所需的技术参数 见 中的定义安全结果本段包含认证机构应用于证书的安全功能的结果 见 中的定义数据加密头本段规定了压缩任选 加密和过滤 任选 数据的 位位组大小 可以规定用于标识所加密的结构的参考号 如果给出参考号 和 段中应采用相同的参考号若加密前使用填充则要说明填充的 位位组数加密数据本部分包含了采用安全头段组所规定的加密算法和机制进行加密处理后的加密数据数据加密尾本段规定了压缩任选 加密和过滤 任选 数据的 位位组大小 可以规定用于标识所加密的结构的参考号 如果给出了
12、参考号则 和 段中应采用相同的参考号段组 安全尾段组本段组包含了与安全头段组的链接和应用于 结构安全功能的结果见的定义安全尾本段在安全头段组与安全尾段组间建立一个链接 并且说明了包含在这些组中安全段的数目含段和 段 见 中的定义安全结果本段包含了应用于 结构的安全功能的结果这些安全功能是在被链接的安全头段组中进行规定的 见 中的定义 对于保密性的安全服务本段不应出现用于保密性的数据加密头段和数据加密尾段加密成加密数据的 结构封装在数据加密头段和数据加密尾段内 加密的数据及其相关的安全头段组及安全尾段组将替换原有的报文体 客体或报文包组所采用的加密措施不影响加密的结构头和尾加密的数据应紧跟在结束
13、 段的分隔符后面 段应以 位位组为单位来规定加密数据的长度 段跟随在加密数据之后 段再一次以 位位组为单位规定加密数据的长度其长度应与 段中的相同用于保密性的安全头段组和安全尾段组按 的定义应包含一个规定保密性的安全头段组及一个相应的安全尾段组用于保密性的安全尾段组应只包括一个 段一旦 结构被加密 就不应对该结构提供其他 安全服务使用的原则多种安全服务如果除了保密性以外还需要多于一种的安全服务 应当根据 确定的原则结构的发送方应在加密之前实施其他的安全服务接收方则应在解密之后进行相关的验证处理保密性结构的保密性应按 所规定的原则进行处理应在安全头段组中规定保密性的安全服务 而相关的算法应在段组
14、 的 段中进行标识 该段也可包括建立安全的发送方与安全的接收方之间密钥联络所需的数据安全发起方应从 结构头段交换 组报文或包的段终止符后开始对该结构加密 直到该结构段尾 交换 组报文或包的第一个字符前止其结果看做加密的数据 当接收加密的数据时安全接收方应对加密的数据解密并将其还原为不包括头段和尾段的原始 结构内部表示和过滤函数加密处理的结果是一个近似随机的位串 这可能会在某些限定能力通信网中产生问题 为了避免这类问题 可采用过滤函数将位串可逆地映射为某个特定的字符集采用过滤函数的结果是增加了加密数据的长度 不同的过滤函数可采用不同的扩展因子 有些过滤函数允许过滤后的文本包含目标字符集中的任意字
15、符其中包括如段终止符的服务字符而其他过滤函数可能过滤掉这些服务字符在 段和 段中数据元 位位组数据长度 内传输的数据长度应表示压缩 加密 和过滤数据的长度 该数据将用来决定加密的数据结束 所采用的过滤函数应在保密性安全头段组中段的 过滤函数 代码型内指明加密前采用压缩技术加密计算的开销与加密的数据大小有关因此加密前对数据进行压缩是很有效的大多数压缩技术不会影响加密的文本甚至过滤的文本 如需要压缩应在加密前进行因此当压缩技术应用于保密性安全服务时安全头段组可以包括加密前数据已被压缩的标识还可标识所采用的压缩算法和可选参数 在这种情况下 当对加密数据进行解密后应在恢复原始结构前对数据进行解压操作的
16、处理次序加密及相关的操作当对 结构实施保密性安全处理时应执行如下操作压缩 结构 任选 并根据压缩数据计算完整性值任选加密 已压缩和完整性保护的 结构过滤已压缩和完整性保护的 加密数据任选解密和相关操作当将加密的 结构还原为原有的 结构时应执行如下操作对已过滤的加密数据消过滤如已过滤对加密数据解密验证压缩数据的完整性值 如果存在完整性值 并扩展即解压 已解密数据以还原为原始结构如果被压缩附录标准的附录语法服务目录段复合数据元和简单数据元段目录段目录规范说明功能 段的功能位置段表中的独立数据元或复合数据元的顺序位置号标记 段目录中的所有服务段的标记以字母 开头 所有服务复合数据元的标记以字母 开头
17、所有服务简单数据元的标记以数字 开头名称 复合数据元的英文名称用大写字母表示独立数据元的英文名称用大写字母表示成分数据元的英文名称用小写字母表示状态 段中的独立数据元或复合数据元的状态 表示必备型 表示条件型 或复合数据元中的成分数据元的状态最大次数 独立数据元或成分数据元在段中出现的最大次数表示 复合数据元中的独立数据元或成分数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多为 位字母数字字符从属注释标识符代码 名 称有一项且仅有一项全有或全无有一项或多项有一项或无如果第一项有则全有如果第一项有则至少有一项如果
18、第一项有则其他项全无从属注释标识的定义参看 中的按标记排列的段索引标记名称数据加密头数据加密尾按英文名称排列的段索引标记名称数据加密头数据加密尾段的说明注 在此只包含 其他部分未被定义的段数据加密头功能规定了紧随本段段终止符后的加密数据大小即 位位组数据的长度位置 标记名称 状态 最大次数 表示 注位位组数据的长度加密参考号填充位组数数据加密尾功能 提供加密数据的结尾位置 标记名称 状态 最大次数 表示 注位位组数据的长度加密参考号注该值应和相应的 段中 值相同该值应和相应的 段中 值相同简单数据单元的目录简单数据元规范说明简单数据元目录中的所有服务简单数据元的标记以数字 开头名称 简单数据元
19、的名称描述 简单数据元的描述表示 简单数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多为 位字母数字字符按标记排列的简单数据元索引标志 名称加密参考号位位组的数据长度填充位组数按英文名称排列的简单数据元索引标记名称加密参考号位位组的数据长度填充位组数简单数据元的说明注 在此只有包含 其他部分未定义的简单数据元加密参考号描述加密的 结构的参考号表示位位组的数据长度描述 位位组的数据的计数表示填充位组数描述填充位组数表示附录提示的附录报文保护示例在此提供一个示例来解释安全服务段的应用这个报文保密性的示例是基于假定的
20、 付款通知 这里描述的安全机制完全与报文类型无关并且可以应用于任何 报文本示例说明了当一个基于对称算法的方法被应用时 如何使用安全服务段来提供报文内容的保密性 伙伴间事前已交换秘密密钥 并且安全头段组只包含两个相当简单的段概述年 月 日 公司委托 银行 分类代码 记入 公司借方帐号 款值英镑 此款项要付给 银行分类代码 中 的 公司的帐号付款以支票 结算 收款人是销售部的 先生银行要求采用报文保密性的安全服务功能来对该付款通知进行加密处理这种要求是通过报文发送端采用对称数据加密标准 对报文体进行加密来实现的 假定在公司和 银行间秘密 密钥已被事先交换 为降低信息传输量在应用加密技术前对报文体进
21、行压缩 用于压缩报文体的算法是安全细目以下将列出与保密性有关的安全头段组和安全尾段组安全头安全服务报文保密性安全参考号 该安全头的参考号是过滤函数用十六进制过滤器过滤全部二进制值源字符集编码 当加密时报文以在 信息技术信息交换用七位编码字符集 即 码 位进行编码安全标识细目报文发送方 加密报文的用户 公司的 先生安全标识细目报文接收方者 解密报文的用户 银行安全序号 该报文的安全序号是安全日期和时间 安全时间标记是 日期 时间安全算法安全算 为实现报文保密性所使用的对称算法算法的使用 使用密码块链接方式密钥算法的操作方式 使用 算法填充算法 填充方式采用二进制零算法参数算法参数限定符 为预先交
22、换对称密钥的名称 标识算法参数值算法参数值 采用称为 的密钥安全算法安全算法算法的使用加密之前为缩小报文量采用压缩算法算 采用 压缩算法加密头位位组数据长度 压缩 加密和过滤报文体的大小加密参考号 参考号是填充位组数 填充位组数是加密数据加密数据 压缩 加密和过滤报文体加密尾位位组数据长度 压缩 加密和过滤报文体的大小加密参考号 参考号是安全尾安全段数 值为 即安全参考 安全尾的参考号是附录提示的附录处理示例加密示例图 是一个处理示例执行可选择不同的次序和不同的部分实现图 加密 结构所涉及的处理过程解密示例图 是一个处理示例 执行可选择不同的次序和不同的部分实现图 解密 结构所涉及的处理过程附
23、录提示的附录保密性服务和算法目的和范围本附录给出了安全段组中数据元和代码值可能组合的几种示例 所选择的这些示例是用来说明几种基于国际标准而被广泛应用的安全技术由于可组合的全集太大因此本附录不能全部列出 在此所做的选择不必认为是对该算法或操作方式的认可 用户可以根据所要防范的安全威胁选择合适的安全技术本附录的目的是一旦用户选定了安全技术 便向他提供一个全面的起点以得到适合其特定应用的解决方案矩阵中使用的代码表 完整代码表的子集安全服务代码型 算法的使用 代码型保密性 发布者签名发布者散列持有者加密持有者压缩持有者压缩完整性加密的操作方式代码型 算法 代码型操作方式 数据加密标准给报文复原的数字签
24、名模式 国际数据加密算法具有 填充的操作方式采用具有 填充方 专用的散列函数式的 进行封装操作方式 数据压缩算法循环冗余校验数据压缩可变密钥大小对称分组密码算法参数限定符 确认值限定符对称密钥以对称密钥加密 唯一确认值对称密钥以公开密钥加密对称密钥名称密钥加密密钥名称模数指数模数长度安全参与方限定符 填充算法 代码型报文发送方 零填充报文接收方 填充证书持有者 填充鉴别方使用的缩略语安全参考号的表示法认证机构认证机构签名加密密钥公开指数密钥加密密钥密钥名称已压缩 已加密 和过滤 的 位位组数据长度公开模数公开模数长度认证机构的公开密钥采用对称算法和集成式安全段的组合来实现对 结构的保密性表 为
25、下列特定情况建立了的关系集成式报文包组交换级的安全使用对称算法进行加密使用对称算法和非对称算法进行密钥交换提供的安全服务是保密性使用 和 算法来提供保密性 这里给出 个示例操作方式及接收方所知的秘密密钥 所需的秘密密钥是通过发送方和接收方共享的密钥加密密钥 加密的 密钥加密密钥是通过该密钥名称来引用的 本算法不使用数据压缩技术 填充方式采用零填充并需要有关填充位组数的附加信息操作方式及接收方所知的秘密密钥 所需的秘密密钥是通过发送方和接收方共享的密钥加密密钥 加密的 密钥加密密钥是通过该密钥名称来引用的 加密前应用 压缩技术操作方式及 填充技术 用于加密的秘密密钥是通过使用接收方的公开密钥进行
26、交换的 公开密钥是嵌入在证书中的 加密前 应用 压缩和 完整性保护技术虽然发送方和接收方共享密钥 但双方事先未就加密机制完全达成协议 因此 所用的全部算法和操作方式都要明确指出这里只列出与实际应用的安全技术算法及操作方式相关的安全区域段包含了认证机构用于签发证书的散列函数标识和签名函数 接收方已知道认证机构用于证书签名的公开密钥 该公开密钥在 段中通过名称被引用表 阵矩关系标 记名称状态 最大次数 保密性例 保密性例 保密性例 注每个安全服务 个安全头安全服务 代码型安全参考号安全标识细目 发送方安全参与方限定安全参与方标识 发送方标识 发送方标识 发送方标识安全标识细目 接收方安全参与方限定
27、安全参与方标识 接收方标识接收方标识接收方标识安全算法 加密算法安全算法算法的使用 代码型加密的操作方式 代码型算法 代码型表 续标 记名称状态 最大次数 保密性例 保密性例 保密性例 注填充算法 代码型算法参数 一个加密密钥算法参数限定符算法参数值 密钥密钥密钥算法参数 一个密钥加密密钥算法参数限定符算法参数值安全算法 压缩算法安全算法算法的使用 代码型加密的操作方式 代码型算法 代码型安全算法 压缩完整性算法安全算法算法的使用 代码型加密的操作方式 代码型算法 代码型仅一个 接收方证书证书安全标识细目 证书持有者安全参与方限定符安全参与方标识 持有者标记安全标识细目 鉴别参与方安全参与方限
28、定符密钥名称 名称安全参与方标识 认证机构标识安全算法 证书签名认证机构的散列函数安全算法算法的使用 代码型加密的操作方式 代码型算法 代码型安全算法 证书签名认证机构的签名函数安全算法表 续标 记名称状态 最大次数 保密性例 保密性例 保密性例 注算法的使用 代码型加密的操作方式 代码型算法 代码型算法参数 认证机构公开密钥指数算法参数限定符算法参数值算法参数 认证机构公开密钥指数算法参数限定符算法参数值算法参数 认证机构公开密钥模数长度算法参数限定符算法参数值安全算法 证书持有者的加密函数安全算法算法的使用 代码型加密的操作方式 代码型算法 代码型算法参数 持有者公开密钥模数算法参数值算法参数 持有者公开密钥指数算法参数限定符算法参数值算法参数 持有者公开密钥模数长度算法参数限定符算法参数值安全结果确认结果确认值限定符确认值数据加密头位位组数据长度加密参考号填充位组数表 完标 记名称状态 最大次数 保密性例 保密性例 保密性例 注安全化的数据结构 报文体 客体 报文 包 段组加密数据尾位位组数据长度加密参考号每个安全服务一个安全尾安全参考号安全段数注这两个结构必须有相同出现数填充仅应用于规定加密算法的 段填充位组数仅作为示例
