1、DEUTSCHE NORM August 2003EDIFACTAnwendungsregelnTeil 16: Anwendung des Service-Nachrichtentyps KEYMAN zur ber-mittlung von Sicherheitsschlsseln und -zertifikaten16560-16ICS 35.240.60EDIFACT Implementation guide Part 16: Use of the service mes-sage type KEYMAN for conveying security keys and certific
2、atesEDIFACT Guide dimplmentation Partie 16: Utilisation du type demessage de service KEYMAN pour transmettre les cls et certificats descuritVorwortDiese Norm wurde vom Normenausschuss Browesen (NB), Arbeitsausschuss 3 EDI/EDIFACT“ (NB-AA 3) erarbeitet. Der NB ist u. a. fr normative Festlegungen im A
3、nwendungsbereich des elektronischenDatenaustausches (EDI) im weiteren Sinn auch Electronic Commerce zustndig.Die vorliegende Norm basiert auf den Service-Nachrichtentyp KEYMAN Sicherheitsschlssel- und -Zertifi-kats-Verwaltung“ nach ISO 9735-9:2002.Die Norm ist soweit notwendig mit der Norm DIN 16560
4、-15 harmonisiert, die die Anwendung des Ser-vice-Nachrichtentyps AUTACK zur bermittlung von Integritts- und Authentizittsinformationen zu ver-sendeten Nutzdaten beschreibt.DIN 16560 EDIFACT Anwendungsregeln besteht aus: Teil 1: Service-Segmente Teil 2: Prfbescheinigung der Chemischen Industrie QALIT
5、Y D.99A Teil 15: Anwendung des Service-Nachrichtentyps AUTACK zur bermittlung von Integritts- und Au-thentizittsinformationen ber versendete Nutzdaten Teil 16: Anwendung des Service-Nachrichtentyps KEYMAN zur bermittlung von Sicherheitsschls-seln und -zertifikatenFortsetzung Seite 2 bis 16Normenauss
6、chuss Browesen (NB) im DIN Deutsches Institut fr Normung e. V. DIN Deutsches Institut fr Normung e.V. .Jede Art der Vervielfltigung, auch auszugsweise, Ref. Nr. DIN 16560-16:2003-08nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet. Preisgr. 10 Vertr.-Nr. 0010Alleinve
7、rkauf der Normen durch Beuth Verlag GmbH, 10772 BerlinDIN 16560-16:2003-082EinleitungMit der Anerkennung des elektronischen Dokuments mit elektronischer Signatur als quivalent zum her-kmmlichen Papierdokument wurden etwa 450 Formvorschriften im zivilrechtlichen Bereich dahingehendgendert, dass die e
8、lektronische Form, alternativ zur Schriftform, anerkannt wird.Die digitale Signatur ist eine Art elektronisches Siegel, das die Rechtsverbindlichkeit wichtiger Vorgnge inder elektronischen Kommunikation herstellt.Die Sicherheit der digitalen Signatur liegt in dem asymmetrischen Verschlsselungsverfah
9、ren. Die Signaturbasiert auf der Anwendung zweier Schlssel: Einem privaten Schlssel zur Erstellung der Signatur und ei-nem ffentlichen Schlssel zur Prfung der Signatur.Ziel der digitalen Signatur ist ein System, in dem jeder mit jedem ohne Gefahr der Informationsverflschungkommunizieren kann. Sie di
10、ent zur Feststellung der Datenintegritt, der Authentisierung des Absenders der Nachricht und der Unbestreitbarkeit des Ursprungs der Nachricht.Die in dieser Norm beschriebene Anwendung des Nachrichtentyps KEYMAN erfllt die aktuellen Anforde-rungen des Geschftsdatenaustausches im e-Business.Die in di
11、eser Norm beschriebene Anwendung des Nachrichtentyps KEYMAN entstand aus dem Bedrfnisheraus, fr die im Deutschen Bundestag am 15. Februar 2001 beschlossene Anpassung des Signaturge-setzes an die europischen Vorgaben (siehe Direktive 1999/93/EC) eine Lsung fr den elektronischenGeschftsdatenaustausch
12、bereitzustellen.Der in dieser Norm vorliegende KEYMAN-Guide“ beschreibtdie Verwaltung von Sicherheitsschlsseln und -zertifikaten.Die parallel zu dieser Norm verffentlichte DIN 16560-15 beschreibt zustzlich dieAnwendung des Service-Nachrichtentyps AUTACK zur bermittlung von Integritts- und Au-thentiz
13、ittsinformationen ber versendete Nutzdaten.Da der Nachrichtentyp KEYMAN erstmalig mit der Syntax-Version 4 verffentlicht wurde, sind bei seinerAnwendung die Mindestanforderungen der Syntax-Version 4 anzuwenden. Diese Mindestanforderungenbetreffen die Segmente UNA, UNB und UNH sowie den Inhalt des Na
14、chrichtentyps KEYMAN. Sofern Nutz-daten entsprechend Syntax-Version 3 generiert wurden (UNH . UNT), sind automatisch die Mindestanfor-derungen der Syntax-Version 4 erfllt.1 AnwendungsbereichDiese Norm beschreibt die Anwendung des Service-Nachrichtentyps KEYMAN nach ISO 9735-9 zurbermittlung von Sich
15、erheitsschlsseln und -zertifikaten im elektronischen Datenaustausch beispielsweisefr den Abrechnungs- und Zahlungsverkehr.DIN 16560-16:2003-0832 Normative VerweisungenDiese Norm enthlt durch datierte oder undatierte Verweisungen Festlegungen aus anderen Publikationen.Diese normativen Verweisungen si
16、nd an den jeweiligen Stellen im Text zitiert, und die Publikationen sindnachstehend aufgefhrt. Bei datierten Verweisungen gehren sptere nderungen oder berarbeitungendieser Publikationen nur zu dieser Norm, falls sie durch nderung oder berarbeitung eingearbeitet sind.Bei undatierten Verweisungen gilt
17、 die letzte Ausgabe der in Bezug genommenen Publikation (einschlielichnderungen).DIN 16557-3:1994, Elektronischer Datenaustausch fr Verwaltung, Wirtschaft und Transport (EDIFACT) Teil 3: Allgemeine Einfhrung fr Einheitliche Nachrichtentypen (UNSMs).DIN 16560-15:2003, EDIFACT Anwendungsregeln Teil 15
18、: Anwendung des Service-NachrichtentypsAUTACK zur bermittlung von Integritts- und Authentizittsinformationen ber versendete Nutzdaten.ISO 9735-1:2002, Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number: 4, syntax rel
19、ease number: 1) Part 1: Syntax rulescommon to all parts.ISO 9735-5:2002, Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number: 4, syntax release number: 1) Part 5: Securityrules for batch EDI (authenticity, integrity a
20、nd non-repudiation of origin).ISO 9735-9:2002, Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number: 4, syntax release number: 1) Part 9: Security keyand certificate management message (message type KEYMAN).3 Hinweise
21、zum Lesen der Anwendungsregeln3.1 AllgemeinesZum besseren Verstndnis der Festlegungen in Abschnitt 4 dienen die folgenden Hinweise (siehe auchDIN 16557-3):a) Das angegebene dreistellige Kurzzeichen zur Identifikation eines Segmentes ist der offizielle EDI-FACT-Segmentbezeichner (BEZ).b) In der tabel
22、larischen Segmentbersicht der Nachricht (siehe 4.1) und im Nachrichtenaufbau-Diagramm(siehe 4.2) ist die maximale Anzahl des Auftretens (WDH) der Segmentgruppe (SG) oder des Seg-ments an dieser Stelle der Nachricht angegeben, die im Rahmen dieser Anwendungsregeln vorgese-hen ist. Hierdurch soll die
23、Verarbeitung der dokumentierten Nachricht erleichtert werden.c) Datenelemente sind durch vierstellige Kennungen identifiziert. Mehrere Datenelemente knnen eineDatenelementgruppe bilden, die durch eine dreistellige Nummer mit einem vorangestelltem S“ ge-kennzeichnet ist.ANMERKUNG Im Gegensatz zu den
24、Datenelementgruppen in Service-Segmenten werden bei Nutzdaten-Segmenten die Datenelementgruppen durch eine dreistellige Nummer und ein vorangestelltes C“ (composite) gekenn-zeichnet.d) Zu jedem Datenelement ist in 4.4 neben der Nutzungsangabe die Darstellung angegeben: an“ be-deutet alphanumerisch,
25、n“ numerisch, und hinter den zwei Punkten ist die maximale Stellenanzahlangegeben (z. B. n18, an3). Eine Angabe ohne Punkte legt eine feste Stellenzahl fest (siehe auch3.2).DIN 16560-16:2003-084e) Qualifier sind Codes, die die Bedeutung eines Segmentes oder eines Datenelementes nher festlegen.In der
26、 vorliegenden Anwendungsdokumentation sind fr Qualifier und teilweise fr Codes erlaubte“Werte angegeben. Zur Erleichterung der Verarbeitung solcher Nachrichten wird dringend empfohlen,die angegebenen Werte zu verwenden. Darber hinaus wird auf die offiziellen Codelisten des EDI-FACT-Verzeichnisses ve
27、rwiesen, das weitere Codes enthalten kann.f) Die Struktur jedes einzelnen Segments wurde komplett dargestellt, auch wenn einzelne Bestandteiledes Segmentes nicht verwendet werden.g) Unter Kommentar“ (jeweils am Ende eines beschriebenen Segmentes) finden sich in 4.4 allgemeineAngaben zum Segment, whr
28、end unter Codierungsbeispiel“ die in der jeweiligen tabellarischen Dar-stellung des Segmentes in der Spalte Beispiel“ angegebenen Werte hier summarisch als EDIFACT-bertragungskette dargestellt sind.ANMERKUNG Die komplette EDIFACT-bertragungskette bzw. -datei ist in der Musternachricht in 4.5 dargest
29、ellt.3.2 StrukturenDie in dieser Norm zur Anwendung dokumentierte EDIFACT-Service-Nachricht schliet die Beschreibungder Service-Segmente UNB und UNZ ein. Darber hinaus kann die Anwendung der TrennzeichenvorgabeUNA und der Gruppen-Segmente UNG und UNE erforderlich sein (siehe ISO 9735-1).Eine EDIFACT
30、-bertragungsdatei ist prinzipiell nach Bild 1 aufgebaut.Schleifen Name BEZ StatusTrennzeichen-Vorgabe UNA KannNutzdaten-Kopfsegment UNB MussGruppen-Kopfsegment UNG KannNachrichten-Kopfsegment UNH MussNachrichten-NutzdatenteilNachrichten-Endesegment UNT MussGruppen-Endesegment UNE KannNutzdaten-Endes
31、egment UNZ MussBild 1 Struktur einer EDIFACT-bertragungsdateiDie darin enthaltenen Service-Segmente bernehmen folgende Funktionen:UNA (Trennzeichen-Angabe) Eine optionale Zeichenkette, die am Beginn einer bertragungsdateisteht, um die darin verwendeten Servicezeichen (Trennzeichen) festzulegen.UNB (
32、Nutzdaten-Kopfsegment) Dient dazu, eine bertragungsdatei zu identifizieren.UNG (Gruppen-Kopfsegment) Dient dazu, eine Gruppe von Nachrichten und/oder Paketen zu erffnen,sie zu identifizieren und zu beschreiben. Dies kann zur internen Weiterleitung verwendet werden und einenoder mehrere Nachrichtenty
33、pen und/oder Pakete enthalten.UNH (Nachrichten-Kopfsegment) Dient dazu, eine Nachricht zu erffnen, sie zu identifizieren und zubeschreiben.DIN 16560-16:2003-085UNT (Nachrichten-Endesegment) Dient dazu, eine Nachricht zu beenden und sie auf Vollstndigkeit zuprfen.UNE (Gruppen-Endesegment) Dient dazu,
34、 eine Gruppe zu beenden und sie auf Vollstndigkeit zu pr-fen.UNZ (Nutzdaten-Endesegment) Dient dazu, eine bertragungsdatei zu beenden und sie auf Vollstn-digkeit zu prfen.3.3 DokumentationskonventionenFolgende Konventionen gelten fr die vorliegende Dokumentation:anana3n3an3a3n3an3alphabetische Zeich
35、ennumerische Zeichenalphanumerische Zeichen3 alphabetische Zeichen fester Lnge3 numerische Zeichen fester Lnge3 alphanumerische Zeichen fester Lngebis zu 3 alphabetische Zeichenbis zu 3 numerische Zeichenbis zu 3 alphanumerische Zeichen3.4 StatusindikatorenNach den EDIFACT-Regeln gibt es nur die Sta
36、tuswerte M“ (mandatory = Muss) und C“ (conditional =Kann) zur Nutzung der Segmente, der Datenelementgruppen und der Datenelemente. Whrend Muss-(M-)Datenelemente oder -Datenelementgruppen aus Segmenten ihren EDIFACT-Status auch in der An-wendung behalten, wird der EDIFACT-Status Kann“ bedarfsgerecht
37、durch einen der fnf in Tabelle 1 ge-gebenen Statustypen ersetzt.Tabelle 1 Umsetzung des EDIFACT-Status C“ in der AnwendungStatustyp (engl. Name) Status BeschreibungERFORDERLICH(required)R Gibt an, dass die Nutzung dieses Elements erforderlich ist und daherverwendet werden muss.EMPFOHLEN (advised) A
38、Gibt an, dass die Nutzung dieses Elements empfohlen wird.ABHNGIG (dependent) D Gibt an, dass die Nutzung dieses Elements von bestimmten Bedin-gungen abhngt, die in entsprechenden Hinweisen angegeben sind.OPTIONAL (optional) O Gibt an, dass die Nutzung dieses Elements optional ist und die Ver-wendung
39、 im Ermessen des Anwenders liegt.Nicht bentigt (not used) N Gibt an, dass dieses Element bei der Ausfhrung nicht beachtet wird.DIN 16560-16:2003-0863.5 AbhngigkeitenAbhngigkeitshinweise (Dependency notes), die in ISO 9735-1 und ISO 9735-9 zu einzelnen Datenele-mentgruppen beschrieben sind, wurden in
40、 dieser Norm in Textform aufgelst.4 Anwendungsdokumentation4.1 Tabellarische Segmentbersicht der NachrichtANMERKUNG Da die KEYMAN in dieser spezifischen Ausfhrung in der Funktion zur bermittlung von Sicherheits-schlsseln und -zertifikaten verwendet wird, werden die Segmentgruppen 1 bis 3 nicht verwe
41、ndet und hier auch nichtdargestellt. Darber hinaus wird das USR-Segment hier nicht verwendet. Die laufende Nummerierung zur Identifizie-rung der Segmente bergeht daher das USR-Segment; sie ist identisch mit der entsprechenden Nummerierung derSegmente im Nachrichtenaufbau-Diagramm (siehe 4.2), in der
42、 Segmentbeschreibung (siehe 4.4) und in der Muster-nachricht (siehe 4.5).Tabelle 2 Tabellarische Segmentbersicht der NachrichtLfd. Nr. BEZ S WDH Segment(gruppe)1 UNB M 1 Nutzdaten-Kopfsegment2 UNH M 1 Nachrichten-KopfsegmentSG4 R99 USL-SG53 USL M 1 Sicherheitslisten-StatusSG5 M 9999 USC-USA4 USC M1
43、Zertifkat5 USA R 3 Sicherheits-AlgorithmusUSR N 1 Sicherheitsergebnis6 UNT M 1 Nachrichten-Endesegment7 UNZ M 1 Nutzdaten-EndesegmentLegende: BEZ BezeichnerS StatusWDH max. WiederholungDIN 16560-16:2003-0874.2 Nachrichtenaufbau-DiagrammBild 2 Nachrichtenaufbau-DiagrammJede in der Segmentbeschreibung
44、 (siehe 4.4) beschriebene Segment- und Segmentgruppenvariante er-scheint im Nachrichtenaufbau-Diagramm (siehe Bild 2) genau einmal, auch wenn ein Segment bzw. eineSegmentgruppe mehr als einmal verwendet wird. Der Buchstabe in der jeweiligen zweite Zeile eines Kst-chens gibt den Status, der dahinter
45、angegebene numerische Wert die maximale Anzahl der Wiederholun-gen an. Die numerische Angabe im unteren Teil der Kstchen ist ein Hinweis auf die laufende Segment-nummer in der Segmentbeschreibung.4.3 Verwendete Sicherheits-Service-Segmente der KEYMANDie in der KEYMAN verwendeten Sicherheits-Service-
46、Segmente bernehmen folgende Funktionen:USA (Sicherheits-Algorithmus) Dient dazu, den zur Bildung eines Prfwertes verwendeten Sicherheits-Algorithmus zu identifizieren.USC (Zertifikat) Dient dazu, die Beglaubigung des Zertifikatseigners anzugeben und die Zertifizierungs-instanz zu identifizieren.USL
47、(Sicherheitslisten-Status) Dient dazu, gltige, aufgehobene oder eingestellte Zertifikate oderSchlssel zu identifizieren.DIN 16560-16:2003-0884.4 SegmentbeschreibungSegment:UNBlfd. Nr.: 1 Ebene: 0Status: M Max. Wdh.: 1Nutzdaten-KopfsegmentBeschreibung: Nutzdaten-KopfsegmentFormale Beschreibung des Se
48、gmentes:EDIFACT KEYMAN BeschreibungBEZ Beschreibung S Format S Beispiel Datenelement-InhalteUNB Nutzdaten-Kopfsegment M M UNBS001 Syntax-Bezeichner M M0001 Syntax-Kennung Ma4 M +UNOB Angabe der Syntax-Kennung und desZeichensatzes.Hier handelt es sich um einen aus zwei Codie-rungen zusammengesetzten
49、Wert, der den verwen-deten Zeichensatz festlegt. Die ersten drei Buchsta-ben legen die verantwortliche Stelle fr die Pflegedieses Zeichensatzes fest hier steht UNO fr dieEDIFACT-Syntax, der vierte Buchstabe legt dieAusgabe fest.Folgende Identifikationen werden empfohlen:Code: UNOA UN/ECE-Zeichensatz ACode: UNOB UN/ECE-Zeichensatz B0002 Syntax-Versionsnummer M an1 M :4 Angabe de