1、中华人民共和国国家标准用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分安全鉴别和确认报文报文类型为发布实施国家质量技术监督局发布前言本标准等同采用用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分安全鉴别和确认报文报文类型为系列标准在用于行政商业和运输业电子数据交换的应用级语法规则语法版本号的总标题下包括下列个部分第部分各部分公用的语法规则及每部分的语法服务目录第部分批式电子数据交换专用的语法规则第部分交互式电子数据交换专用的语法规则第部分批式电子数据交换语法和服务报告报文报文类型为第部分批式电子数据交换安全规则真实性完整性和源抗抵赖性第部分安全鉴别和确认报文报文
2、类型为第部分批式电子数据交换安全规则保密性第部分电子数据交换中的相关数据第部分密钥和证书管理报文报文类型为第部分交互式电子数据交换安全规则将来还有可能增加新的部分对应于为第四版它的发布与实施不影响我国年根据制定的国家标准本标准的附录是标准的附录附录附录附录是提示的附录本标准由中华人民共和国国家信息化办公室提出本标准由全国文件格式和数据元标准化技术委员会全国信息技术标准化技术委员会归口本标准起草单位电子工业部标准化研究所中国标准化与信息分类编码研究所本标准主要起草人王颜尊吴志刚李颖张荣静徐冬梅王欣苑琳前言国际标准化组织是一个世界性的各国标准机构国家成员体联盟国际标准的制定工作一般通过技术委员会完
3、成对某个已建立的技术委员会的项目感兴趣的每个成员体有权对该技术委员会表述意见任何与有联络关系的官方和非官方的国际组织都可直接参与制定国际标准与国际电工委员会在电工技术标准的所有领域密切合作由技术委员会正式通过的国际标准草案在被理事会接收为国际标准之前须分发到各成员体进行表决按照的工作程序在得到至少的成员体投票赞成之后该标准草案才成为国际标准本国际标准第四版由联合国欧洲经济委员会第四工作组起草作为的组成部分由行政商业和工业中的单证和数据元通过快速表决程序采纳为现行标准在联合国用于行政商业和运输业的电子数据交换应用级语法规则的总标题下由下列几部分组成各部分公用的语法规则及每部分的语法服务目录批式电
4、子数据交换专用的语法规则交互式电子数据交换专用的语法规则批式电子数据交换语法和服务报告报文报文类型为批式电子数据交换安全规则真实性完整性和源抗抵赖性安全鉴别和确认报文报文类型为批式电子数据交换安全规则保密性电子数据交换中的相关数据密钥和证书管理报文报文类型为交互式电子数据交换安全规则将来还有可能增加新的部分引言根据批式或交互式处理的需求本标准包含了用于结构化在开放环境中交换的电子报文中的数据的应用级规则联合国欧洲经济委员会已经同意把这些规则作为用于行政商业和运输业电子数据交换的应用级语法规则这些规则是联合国贸易数据交换目录的一部分还包含批式和交互式报文设计指南通讯规范及协议不在本标准的范围之内
5、本标准是新增加的部分它通过一个安全鉴别和确认报文的方法来提供保护一个结构即报文包组或交换的可选功能中华人民共和国国家标准用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分安全鉴别和确认报文报文类型为国家质量技术监督局发布实施范围本标准定义了安全鉴别和确认报文报文类型为一致性与一个标准一致意味着支持其所有需求包括所有选项如果不是所有选项都被支持则任何一致性声明都应包含一个说明用于标识那些被声明为与其一致的选项如果所交换的数据的结构和表示符合本标准中规定的语法规则则这些数据处于一致性状态当支持本标准的设备能创建和或解释其结构和表示与本标准一致的数据时这些设备处于一致性状态与本标准的一
6、致应包含与和的一致当在本标准中标识出在相关标准中定义的条款时这些条款应构成一致性判定条件的组成部分定义本标准所使用的定义见的附录和的附录安全鉴别和确认报文的使用规则功能定义是鉴别发送的交换组报文或包的报文或对所接收到的交换组报文或包提供安全确认的报文安全鉴别和确认报文能用于对于报文包组或交换提供安全鉴别完整性或源抗抵赖性对于经安全处理的报文包组或交换提供接收的安全确认或接收的抗低赖性应用领域安全鉴别和确认报文适用于国内贸易和国际贸易它是基于行政商业和运输业相关领域内的广泛实践而不受业务或行业类型的限制原则所应用的安全规程应由贸易参与方协商通过并应在交换协定中进行规定安全鉴别和确认报文向其他结构
7、包括报文包组或交换实施安全服务并且对经安全处理的结构提供安全确认它也能应用于贸易双方间需要安全处理的结构组合安全服务是通过应用于原始结构内容中的密码机制来提供这些密码机制处理的结果形成了的报文体并由相关数据如所用的加密方法的参考结构的参考号以及原始结构的日期和时间补充报文应使用标准的安全头段组和安全尾段组报文适用于一个或多个交换中的一个或多个报文包或组或者适用于一个或多个交换鉴别功能的的用法用作鉴别报文的报文应由一个或多个其他结构的发送方或通过有权代表发送方行为的一方来发送其目的是简化中所定义的安全服务即相关结构的真实性完整性和源抗抵赖性鉴别报文能够以两种方法实现第一种方法是传输参考的结构的散
8、列值该结构是由自身进行安全处理的和二种方法是用只传输参考结构的数字签名使用参考的结构的散列值的鉴别经安全处理的结构应在段安全参考出现时参考对于每个将至少出现一个相对应的段参考的安全它包括参考的结构实施安全功能的安全结果例如散列值所实施的安全功能细目将包含在这个的安全头段组中用于参考的结构的和段将通过使用两个段中的数据元安全参考只来链接最后一步在中传输的所有信息将通过至少使用一对安全头段组和安全尾段组加以安全处理注使用段来引用一个或多个交换中的一个或多个报文包或组或者参考一个完整的交换对于每一个段相应的段包含应用于参考的结构的散列结果鉴别及抗抵赖方法使用参考的结构的数字签名的鉴别经安全处理的结构
9、应在段安全参考出现时被引用对于每一个段至少应出现一个相对应的段参考的安全性且该段包含参考的结构的数字签名关于所执行的安全功能细目应包含于本安全头段组中由于可对单个参考的结构进行多次安全处理所以应通过在这两个段中使用数据元安全控制参考号将有关的段和安全头段组链接起来如果参考的结构的数字签名包含于而不是一个散列值中则报文本身不需要进行安全处理确认功能的的用法用作确认报文报文应由已接收一个或多个经安全处理的结构的接收方发送或由有权代表接收方的一方发送它的目的是简化对相关的结构实现接收确认内容完整性的确认完整性确认及接收的抗抵赖性确认功能只适用于经安全处理的结构这个经安全处理过的结构应在一个段安全参考
10、出现时参考对于每一个来说至少应出现一个相应的段该段或者包含散列值或者包含参考的结构的数字签名通过使用数据元安全参考号应将段与参考的结构的安全头段组或与对结构进行安全处理的报文的安全头段组链接起来这个与参考的结构相应的安全头包括了由原始报文的发送方对参考的结构实施的安全功能细目作为产生确认报文的最后一步在中传输的所有信息应由至少一对安全头段组和安全尾段组来进行安全处理在安全验证失败时也用于非确认功能注安全确认仅对经过安全处理的结构有意义对结构进行安全处理是通过集成的安全段组参见或通过鉴别来实现的为了避免无穷循环用于确认功能的不应要求其接收方发回确认报文报文定义数据段说明报文头开始并唯一标识报文的
11、服务段安全鉴别和确认报文的报文类型代码为数据元报文类型子功能标识用来指明功能的用法如鉴别确认或确认的拒绝注符合本标准的报文必须在段和复合数据元中包含下列数据数据元段组安全头段组本段组标识所采用的安全服务和安全机制并包含了执行确认计算所需的数据见的定义本段组应规定应用于报文或参考的结构的安全服务和算法每个安全头段组应与一个安全尾段组相链接并且某些安全头段组可以另外与段相链接安全头本段规定了应用于包含本段的报文包或应用于参考的结构的安全服务见的定义安全服务数据元应规定报文或参考的结构所采用的安全服务报文源鉴别和源抗抵赖性安全服务仅适用于报文本身参考的结构完整性参考的结构源鉴别和参考的结构源抗抵赖性
12、等安全服务只能由发送方用来对参考的结构进行安全处理接收鉴别和接收的抗抵赖性安全服务只能由经安全处理的结构的接收方对确认进行安全处理应按照中的有关规定说明安全服务的安全应用范围在一个报文中允许有四种安全应用范围前两种范围见的定义第三种范围包括全部结构其中安全应用范围是从参考的报文包组或交换的第一个字符即开始到报文包组或交换的最后一个字符为止第四种范围是用户定义即安全应用在发送方与接收方之间的协议中定义安全算法本段标识了安全算法及由该算法所产生的技术用法并包含了所需的技术参数见的定义段组证书段组当使用非对称算法时本段组包含了用来验证应用于报文包的安全方法所需的数据见的定义证书本段包含证书持有者的凭
13、证并标识生成该证书的认证机构见的定义安全算法本段标识了安全算法及由该算法所产生的技术用法并包含了所需的技术参数见的定义安全结果本段包含认证机构应用于证书的安全功能的结果见的定义经安全处理的数据标识本段应包含交换发送方和交换接收方的标识及与这个安全性有关的时间标记并且它应规定是否需要来自这个报文接收方的一个安全确认如果需求这个报文发送方将希望得到一个报文接收方发送回来的确认报文在中的交换发送方和交换接收方应该参考出现的交换中的发送方和接收方以便保证这个信息的安全性段组本段组用来标识安全进程中的参考方并提供有关参考的结构的安全信息安全参考本段应包含安全进程中所涉及的参与方的参考复合数据元安全日期和
14、时间可以包含参考的结构的最初生成日期和时间如果只出现数据元而没有和出参考整个交换如果出现数据元和而没有出现和则参考该组参考的安全本段包含一个与安全头段组的链接和按照被链接的安全头段组中所规定的安全服务应用于参考结构的结果当通过相同的安全服务并采用相同的安全参数对多个参考的结构进行安全处理时多个段可以与相同的安全头段相链接在这种情况下安全头段组和相关多个之间的链接值应是相同的当用于确认功能时相应的安全头段组应是参考的结构的安全头段组或者是用于向参考的结构提供鉴别功能的报文的安全头段组在一个段中数据元的值应与以下两种情况相对应的段中的值完全相同如果使用鉴别功能就是当前的安全服务参考的结构的真实性参
15、考的结构的完整性或参考的结构的源抗抵赖性如果使用确认功能就是参考的结构本身或者向参考的结构提供鉴别功能的报文安全服务接收的抗抵赖性或接收鉴别段组安全尾段组本段组包含与安全头段组的链接和应用于报文包的安全功能的结果见的定义如果安全尾段组与某个参考的结构相关的安全头段组相链接则段可以被省略在这种情况下相应的安全功能结果应能在链接到相应安全头段组的段中找到安全尾本段在安全头段组与安全尾段组间建立一个链接并说明包含在这些组中的安全段的数目见的定义安全结果本段包含应用于报文包的安全功能的结果这些安全功能是在被链接的安全头段组中进行规定的见的定义在这个段中安全结果应适用于报文本身报文尾本服务段终止一个报文
16、并给出段的总数和报文的控制参考号报文结构段表位置标记名称状态最大次数备注报文头段组安全头安全算法段组证书安全算法安全结果经安全处理的数据标识段组安全参考参考的安全段组安全尾安全结果报文尾注报文的报文体由段和段组构成附录标准的附录语法服务目录段复合数据元和简单数据元段目录段规范说明功能段的功能位置段表中的独立数据元或复合数据元的顺序位置号标记段目录中的所有服务段的标记以字母开头所有服务复合数据元的标记以字母开头所有服务简单数据元的标记以数字开头名称复合数据元的英文名称用大写字母表示独立数据元的名称用大写字母表示成分数据元的英文名称用小写字母表示状态段中的独立数据元或复合数据元的状态表示必备型表示
17、条件型或复合数据元中的成分数据元的状态最大次数独立数据元或成分数据元在段中出现的最大次数表示复合数据元中的独立数据元或成分数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位字母字符定长位字母数字字符定长最多为位字母字符最多为位数字字符最多为位字母数字字符从属性注释标识符代码名称有一项且仅有一项全有或全无有一项或多项有一项或无如果第一项有则全有如果第一项有则至少有一项如果第一项有则其他项全无从属性注释标识符的定义见的按段标记字母顺序排列的段索引标记名称报文头报文尾安全算法经安全处理的数据标识证书安全头安全结果安全尾安全参考参考的安全按英文名称的字母顺序排列的段索引标记名称证书报文头报
18、文尾经安全处理的数据标识安全算法安全头参考的安全安全参考安全结果安全尾段规范注在此只包含其他部分中未定义的段经安全处理的数据标识功能包含与相关的细目位置标记名称状态最大次数表示注应答类型代码型安全日期与时间日期与时间限定符事件日期事件时间时差交换发送方交换发送方标识标识代码限定符交换发送方内部标识交换发送方内部子标识交换接收方交换接收方标识标识代码限定符交换接收方内部标识交换接收方内部子标识安全参考功能参照经安全处理的结构及其有关的日期和时间位置标记名称状态最大次数表示注交换控制参考交换发送方交换发送方标识标识代码限定符交换发送方内部标识交换发送方内部子标识交换接收方交换接收方标识标识代码限定
19、符交换接收方内部标识交换接收方内部子标识段组参考号应用发送方标识应用发送方标识标识代码限定符应用接收方标识应用接收方标识标识代码限定符报文参考号报文标识符报文类型报文版本号报文发布号管理机构代码型机构指定的代码代码列表目录版本号报文类型子功能标识包参考号安全日期与时间日期与时间限定符事件日期事件时间时差从属性注释如果第一项有则全有有一项且仅有一项如果第一项有则全有如果第一项有则全有参考的安全功能标识适用的头并包含安全结果和或指明导致安全错误原因的参考值位置标记名称状态最大次数表示注安全参考号确认结果确认值限定符确认值安全错误代码型注有一项或多项复合数据元目录未定义复合数据元简单数据元目录简单数
20、据元规范说明简单数据元目录中的所有服务简单数据元的标记以数字开头名称简单数据元的名称描述简单数据元的描述表示简单数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为位字母字符最多为位数字字符最多位字母数字字符注简单数据元注号按标记排列的简单数据元索引标记名称交换控制参考组参考号报文参考号应答类型代码型安全参考号安全错误代码型包参考号按英文名称的字母顺序排列的简单数据元索引标记名称组参考号交换控制参考报文参考号包参考号应答类型代码型安全错误代码型安全参考号简单数据元说明注在此只包含其他部分未定义的简单数据元安全错误代码型描述标识导致拒绝结构的安全错误
21、表示注此数据元应说明所出现的安全错误这些错误可能是导致对安全确认请求的未确认或者可以是一个包含错误的或经安全处理的结构的接收方主动发送的附录提示的附录服务代码目录服务代码目录由维护并且是联合国贸易数据交换目录的一部分因此在本标准中不重新制定服务代码目录的新版本应使用简单数据元目录中有代码数据元的参考代码值见附录按正常周期推出和公布附录提示的附录报文示例在此提供三个示例来解释报文的不同应用第一个示例说明了在提供源抗抵赖性的安全服务时如何使用报文来保护前面发送的报文还需要确认报文第二个示例说明了一个报文如何用不同安全服务来保护两个报文一个报文发起方的抗抵赖对另一个报文的源鉴别第三个示例解释了用于安
22、全确认的报文的用法它说明了在第一个示例中由报文所要求的确认报文示例由一个报文提供的源抗抵赖性的服务概述当付款通知报文超过一定数量时银行需要由公司的先生来对公司的付款通知报文实施源抗抵赖性的安全服务双方间的交换协定规定了银行所要求的源抗抵性安全服务应由公司的先生用数字签名的方式对这些付款通知报文实施加密来完成双方都同意这个数字签名是通过位非对称算法对由算法算出的散列值进行计算生成的标识先生公开密钥的证书由双方都信任的机构即证书的发布者发布在这些条件下由于付款通知报文的数字签名被包含在报文中因此本身不需要被签名由保护的报文是先生发给银行首次交换中的第三个报文它于年月日生成该本身是交换中的第五个报文
23、它由年月日生成出现的安全段如下指示对报文尖用安全服务的段先生的证书带有报文的安全参考和安全结果的没有参考安全细目安全头安全服务代码型源抗抵赖性安全参考号本安全头的参考号是应答类型要求确认过滤函数用十六进制的过滤器过滤所有的二进制值签名源字符集编码当生成报文签名时报文用信息技术信息交换用七位编码字符集即码位进行编码证书先生的证书证书参考本证书由参考安全标识细目证书持有者公司的先生安全标识细目证书的发布者密钥名称先生的证书由认证机构生成用于生成证书的公共密钥是证书的语法和版本服务段目录的证书版本过滤器的语法和版本所有二进制值密钥和数字签名用十六进制过滤器过滤源字符集编码当生成证书时证书使用即码位进
24、行编码表续用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是数据元分隔符值加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是复合数据元分隔符值冒号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值星号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值问号安全日期与时间日期与时间证书生成时
25、间先生证书于年月日生成安全日期与时间日期与时间证书有效期的生效时间先生证书有效期的开始时间是安全日期与时间日期与时间证书有效期的截止时间先生证书有效期的截止时间是安全算法由先生用于签名的非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指数先生的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数先生的模数算法参数算法参考限定符算法参数值标识这个算法参数为先生模数的长度位数先生模数的的长度为位安全算法由用于生成先生证书的散列函数安全算法算法的使用密码操作方式
26、算法使用发布者的散列算法使用适宜的散列函数使用位块密码算法的散列函数来提供一个双倍长的散列代码位初始化值使用报文一文摘算法表完安全算法用于签名的非对称算法安全算法算法的使用密码操作方式算法使用发布者签名算法这里没有相关的操作方式是非对称算法算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法参数为模数的长度位数模数的长度是位安全结果证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名经安全处理的数据标识应答类型代码型需要一个来自
27、银行的安全确认安全日期与时间的安全时间标记是交换发送方交换发送方标识交换发送方的标识公司先生的标识交换接收方交换接收方标识交换接收方的标识银行的标识安全参考涉及安全实体具有源抗抵赖性服务相关的及其相应日期和时间交换控制参考标识发送方分配给报文交换的参考号交换发送方交换发送方标识标识报文交换的发送方是公司的先生交换接收方交换接收方标识标识报文交换的接收方是银行报文参考号标识发送方分配给报文的参考号安全日期与时间日期和时间参考的安全时间标记这个安全时间标记是日期为时间为参考的安全标识可用的安全头涉及报文所应用的安全功能和报文应用这些功能后的结果安全参考号将确认结果同相应的段连接起来的参考号在本例中
28、该值为确认结果确认值限定符确认值报文的数字签名位过滤的十六进制数字签名安全尾安全参考号该安全尾的参考号是安全段数安全段数为示例用保护多个报文概述当付款通知报文超过一定数量时银行需要由公司的先生来对公司的付款通知报文实施源抗抵赖性的安全服务对于那些未超出该数量的付款通知报文则需要报文源鉴别功能双方间的交换协定规定了银行所要求的源抗抵赖性安全服务应由公司的先生用数字签名的方式对这些付款通知报文实施加密来完成双方都同意这个数字签名是通过位非对称算法对由算法算出的散列值进行计算生成的此外报文的源鉴别将在发送方端按照通过使用对称的算法生成一个报文鉴别码来实现标识先生公开密钥的证书由双方都信任的机构即证书
29、的发布者发布发送的第一个报文必须通过用数字签名方式加以保护这个报文是先生发给银行首次交换中的第五个报文它是在年月日发送的发送的第二个报文必须通过用方式加以保护它是首次交换中的第七个报文于年月日发送报文本身是首次交换中的第十个报文它是在年月日发送的由于第一个报文是用数字签名方式加以保护的本身不需要被名因此所出现的安全段如下指示对第一个报文应用源抗抵赖性服务的段先生的证书指示对第二个报文应用报文源鉴别服务的段带有第一个报文安全参考和安全结果数字签名的带有第二个报文安全参考和安全结果的没有参考第一个没有参考第二个安全细目安全头安全头包括了对所参考的实体即第一个报文实施安全功能的信息安全服务代码型第一
30、个报文的源抗抵赖性安全参考号本安全头的参考号是过滤函数用十六进制过滤器过滤所有二进制的值签名源字符集编码当生成报文签名时报文用即码位进行编码安全标识细目报文发送方公司的先生安全标识细目报文接收方银行证书先生的证书证书参考本证书由参考安全标识细目证书持有者公司的先生表续安全标识细目证书发布者密钥名称先生的证书由认证机构生成用于生成证书的公共密钥是证书语法版本服务段目录的证书版本过滤函数用十六进制过滤器过滤所有二进制值密钥和数字签名用于签名的服务字符用于签名服务字符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名
31、时所用的服务字符服务字符是数据元分隔符值加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是复合数据元分隔符值冒号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值星号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值问号安全日期与时间日期与时间证书生成时间先生证书于年月日生成安全日期与时间日期与时间证书有效期的生效时间先生证书有效期的开始时间是安全日期与时间日期与时间证书有效期的截止时间先生证书有效期的截止时间是安全算法由先生用于签名的
32、非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指数先生的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数先生的模数算法参数算法参考限定符算法参数值标识这个算法参数为先生模数的长度位数先生模数的的长度为位安全算法由用于生成先生证书的散列函数表续安全算法算法的使用密码操作方式算法使用发布者的散列算法使用适宜的散列函数使用位块密码算法的散列函数来提供一个双倍长的散列代码位初始化值使用报文一文摘算法安全算法用于签名的非对称算法安全算法算法的使用密码操作方式算
33、法使用发布者签名算法这里没有相关的操作方式是非对称算法算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法参数为模数的长度位数模数的长度是位安全结果证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名安全头安全头包括了对所参考的实体即第二个报文实施安全功能的信息安全服务代码型第二个的报文源鉴别安全参考号本安全头的参考号是过滤函数用十六进制过滤器所有二进制值安全标识细目报文发送方公司的先生安全标识细目报文接收方银行安全算法安全算法
34、算法的使用密码操作方式算法使用对称算法来实现报文的源鉴别按照计算一个使用算法算法参数算法参数限定符算法参数值标识本算法参数值为以前交换的对称密钥的名称经安全处理的数据标识应答类型代码型不需要来自银行确认表完安全日期与时间安全时间标记该安全时间标记为日期时间交换发送方交换发送方标识交换发送方的标识公司先生的标识交换接收方交换接收方标识交换接收方的标识银行的标识安全参考涉及安全实体即第二个报文交换控制参考标识发送方分配第二个报文交换的参考号交换发送方交换发送方标识标识报文交换的发送方是公司的先生交换接收方交换接收方标识标识报文交换的接收方是银行报文参考号标识发送方分配第二个报文的参考号安全日期与时
35、间本安全时间标记是日期时间参考的安全标识可用的安全头涉及第二个报文所应用的安全功能和该报文应用这些功能后的结果安全参考号将确认结果同相应的段连接起来的参考号在本例中该值为确认结果确认值限定符确认值报文鉴别码安全参考涉及安全实体第一个报文及其相应日期和时间交换控制参考标识发送方分配给报文交换的参考号交换发送方交换发送方标识标识了文交换的发送方公司的先生交换接收方交换接收方标识标识了文交换的接收方银行报文参考号标识发送方分配给报文的参考号安全日期与时间本安全时间标记是日期为时间为参考的安全标识可用的安全头涉及对第一个报文所应用的安全功能和该报文应用这些功能后的结果安全参考号将确认结果同相应的段连接
36、起来的参考号在本例中该值为确认结果确认值限定符确认值第一个报文的数字签名位过滤的十六进制数字签名安全尾安全参考号本安全尾的参考号是安全段数安全段数为安全尾安全参考号这个安全尾的参考号是安全段数安全段数为示例通过报文实现接收报文的安全确认概述在示例中由先前的报文的发送方公司的先生使用该报文要求银行给予确认本例将说明如何用报文进行安全确认作为安全确认的报文将通过采用数字签名方式的源抗抵赖性安全服务加以保护并且这些工作已经完成该报文生成于年月日是交换中的第二十个报文出现的安全段如下标识报文所应用的安全服务标识确认的实体所应用的安全服务银行的证书包括的详细内容包括确认实体的参考和数字签名没有的安全尾保
37、护的报文本身安全细目安全头安全服务代码型源抗抵赖性安全参考号本安全头的参考号是过滤函数用十六进制的过滤器过滤所有的二进制值源字符集编码当生成报文签名时报文用即码位进行编码安全标识细目报文发送方产生数字签名的一方银行安全顺序号本报文的安全顺序号是安全日期和时间该安全时间标记是日期时间证书银行的证书证书参考本证书由参考安全标识细目证书持有者银行安全标识细目证书发布者密钥名称银行的证书由认证机构生成用于生成银行证书的的公共密钥是证书语法版本服务段目录的证书版本过滤涵数用十六进制过滤器过滤所有二进制值密钥和数字签名源字符集编码当生成证书时证书凭证用即码位进行编码表续用于签名的服务字符用于签名的服务字符
38、限定符用于签名的服务字符计算签名时所用的服务字符服务字符是段终止符值撇号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是数据元分隔符值加号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是复合数据元分隔符值冒号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是重复分隔符值星号用于签名的服务字符用于签名的服务字符限定符用于签名的服务字符计算签名时所用的服务字符服务字符是释放分隔符值问号安全日期与时间日期与时间证书生成时间银行的证书生成于年安全日期与时间日期与时间证
39、书有效期的生效时间银行证书有效的开始时间为安全日期与时间日期与时间证书有效期的截止时间银行证书有效期的截止时间是安全算法由银行用于签名的非对称算法安全算法算法的使用密码操作方式算法使用持有者签名算法这里没有相关的操作方式是非对称算法算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的公共指数银行的公开密钥算法参数算法参考限定符算法参数值标识这个算法参数为一个签名验证的模数银行的模数算法参数算法参考限定符算法参数值标识这个算法参数为先生模数的长度位数银行模数的的长度为位安全算法由用于生成银行证书的散列函数安全算法算法的使用密码操作方式算法使用发布者的散列算法使用适宜的散列函数使用位块
40、密码算法的散列函数来提供一个双倍长的散列代码位初始化值使用报文文摘算法安全算法用于签名的非对称算法表续安全算法算法的使用密码操作方式算法使用发布者签名算法这里没有相关的操作方式是非对称算法算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的公共指数的公开密钥算法参数算法参数限定符算法参数值标识这个算法参数为一个签名验证的模数的模数算法参数算法参数限定符算法参数值标识这个算法参数为模数的长度位数模数的长度是位安全结果证书的数字签名确认结果确认值限定符确认值数字签名位过滤的十六进制数字签名安全头安全头包括了对所参考的实体即报文实施安全功能的信息安全服务代码源抗抵赖性安全参考号本安全头的
41、参考号是过滤函数用十六进制过滤器过滤所有二进制值签名源字符集编码当生成报文签名时该报文用即码位进行编码经安全处理的数据标识安全日期与时间该报文的安全时间标记是时间交换发送方交换发送方标识交换发送方的标识公司银行标识交换接收方交换接收方标识交换接收方的标识公司先生的标识安全参考涉及安全实体确认的报文及其相应日期和时间交换控制参考标识确认的报文交换的参考号是交换发送方交换发送方标识标识确认的报文交换的发送方是公司的先生交换接收方交换接收方标识标识确认的报文交换的接收方是银行报文参考号标识由发送分配给确认的报文的参考号见例安全日期与时间该的安全时间标记是日期为时间为参考的安全安全参考号标识可应用的头
42、表完确认结果确认值限定符确认值确认的报文的数字签名位过滤的十六进制数字签名安全尾安全参考号该安全尾的参考号是安全段数安全段数为安全尾安全参考号这个安全尾的参考号是安全段数安全段数为安全结果确认结果确认值限定符确认值的数字签名位过滤的十六进制数字签名附录提示的附录安全服务及算法目的的范围本附录给出了安全段组中数据元和代码值可能组合的几种示例所选择的这些示例是用来说明几种基于国际标准而被广泛应用的安全技术由于可组合的全集太大因此本附录不能全部列出在此所做的选择不必认为是对该算法或操作方式的认可用户可以根据所要防范的安全威胁选择合适的安全技术本附录的目的是一旦用户选定了安全技术便向他提供一个基点以得
43、到适合其特定应用的解决方案为便于阅读和理解本主题被分为三个部分每个部分针对了应用安全的不同原则这三个部分是采用对称算法和参考实体的报文的组合采用非对称算法和参考实体的报文的组合采用确认报文的组合各表中使用的代码清单完整代码表的子集安全服务代码型过滤函数代码型源抗抵赖性过滤器报文的源鉴别参考的结构的完整性算法的使用代码型密码操作方式代码型持有者散列性报文鉴别码持有者对称性修改检查码发布者签名散列功能发布者散列性持有者签名算法代码型算法参数限定符数据加密标准模数指数模数长度确认值限定符安全参与方限定符唯一的确认值报文发送方报文接收方证书持有者鉴别方使用的缩写安全参考号的表示法认证机构加密密钥散列值
44、密钥名称报文鉴别码模数模数长度认证机构的公开密钥公开密钥签名采用对称算法和参考实体报文的组合表为下列特定情况建立了的关系由报文向参考的实体提供保护只使用对称算法提供的安全服务是对于参考报文的参考结构的源鉴别和报文的报文源鉴别参考的结构源鉴别是通过参考的结构完整性和的报文源鉴别的组合来提供的参考的结构完整性是通过基于算法的散列函数来提供的该算法按照采用方式在发送方和接收方没有共享的秘密密钥该散列值在中被传输且通过报文上的安全性得以保护的报文源鉴别是通过对报文计算一个报文鉴别码来提供的在本例中所用的算法是使用秘密密钥的方式的该秘密密钥为报文接收方所知且只通过密钥名称来引用本示例符合尽管发送方和接收
45、方共享密钥但是密码机制事先并未达到完全一致因此所用的全部算法和操作方式要被明确地指定在此仅列出与实际使用的安全技术算法和操作方式相关的安全段表当只采用对称算法时的关系矩阵标记名称状态最大次数参考的结构完整性报文源鉴别注每个安全服务个安全头安全服务代码型安全参考号过滤函数代码型安全标识细目安全参与方限定符密钥名称安全标识细目安全参与方限定符安全算法安全算法算法的使用代码型密码操作方式代码型算法代码型经安全处理的数据标识经安全处理的数据结构的参考安全参考参考的安全安全参考号确认结果确认值限定符确认值安全尾安全参考号安全段数安全结果确认结果确认值限定符确认值表完标记名称状态最大次数参考的结构完整性报
46、文源鉴别注注一个安全头参照的安全尾其他的安全头则参照参考的安全段报文发送方报文的发送方和接收方共享的秘密密钥名称报文接收方参照安全头之一对参考的结构计算出的散列值该值由报文计算出的来保护参照安全头之一对报文计算出的进一步的代码组合是可能的和需要的采用非对称算法和参考实体的报文的组合表为下列特定情况建立了的关系由报文向参考的实体提供保护只使用对称算法提供的安全服务是对于参考报文的参考结构的源抗抵赖性和报文的报文源抗抵赖性参考的结构源抗抵赖性是通过参考的结构完整性和的报文源抗抵赖性的组合来提供的非对称算法是散列函数是方式的算法相同的散列函数用来计算参考的结构的散列值和报文的散列值假设证书事先未被交
47、换段包含明确的散列函数和认证机构用来签署证书的签名函数的标识检查证书签名所需的认证机构的公开密钥接收方已经知道它由段中的名称指出只包含一个证书仅当使用接收方的公开密钥时第二个证书才是必要的表使用非对称算法时的关系矩阵标记名称状态最大次数参考的结构完整性报文的源抗抵赖性注每个安全服务个安全头安全服务代码型安全参考号过滤函数代码型安全标识细目安全参与方限定符表续标记名称状态最大次数参考的结构完整性报文的源抗抵赖性注安全标识细目安全参与方限定符安全算法安全算法算法的使用代码型密码操作方式代码型算法代码型只有一个发送方证书证书安全标识细目证书持有者安全参与方限定符安全标识细目鉴别方安全参与方限定符密钥
48、名称名称安全算法发送方的签名函数安全算法算法的使用代码型算法代码型算法参数模数长度算法参数限定符算法参数值算法参数模数算法参数限定符算法参数值模数算法参数公开指数算法参数限定符算法参数值公共密钥安全算法用于证书签名的散列函数安全算法表续标记名称状态最大次数参考的结构完整性报文的源抗抵赖性注算法的使用代码型密码操作方式代码型算法代码型安全算法用于证书签名的的签名函数安全算法算法的使用代码型算法代码型安全结果确认结果确认值限定符确认值经安全处理的数据标识经安全处理的数据结构的参考安全参考参考的安全安全参考号确认结果确认值限定符确认值安全尾安全参考号安全结果确认结果确认值限定符确认值注假的报文源鉴别和完整性被包括在源抗抵赖性中参考的结构的源抗抵赖性是通过参考的结构完整性和源抗抵赖性的组合来提供的报文发送方报文接收方发送方应用于经安全处理的结构上的散列函数表完标记名称状态最大次数参考的结构完整性报文的源抗抵赖性注证书持有者标识细目应与报文发送方中的相同鉴别方认证机构发送方的签名函数的散列函数的签名函数某些签名算法例如需要两个结果参数进一步的代码组合是可能的和需要的采用确认报文的组合确认报文的可能组合遵循以上描述的示例特别是对于的代码为接收鉴别采用表的组合对于的代码为接收方的抗抵赖采用表的组合注进一步的代码组合是可能的和需要的
