GB T 14805.5-1999 用于行政、商业和运输业电子数据交换的应用级语法规则 (语法版本号 4) 第5部分;批式电子数据交换安全规则(真实性、完整性和源抗抵赖性).pdf
《GB T 14805.5-1999 用于行政、商业和运输业电子数据交换的应用级语法规则 (语法版本号 4) 第5部分;批式电子数据交换安全规则(真实性、完整性和源抗抵赖性).pdf》由会员分享,可在线阅读,更多相关《GB T 14805.5-1999 用于行政、商业和运输业电子数据交换的应用级语法规则 (语法版本号 4) 第5部分;批式电子数据交换安全规则(真实性、完整性和源抗抵赖性).pdf(44页珍藏版)》请在麦多课文档分享上搜索。
1、中华人民共和国国家标准用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分批式电子数据交换安全规则真实性完整性和源抗抵赖性发布实施国家质量技术监督局发布前言本标准等同采用用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分批式电子数据交换安全规则真实性完整性和源抗抵赖性系列标准在用于行政商业和运输业电子数据交换的应用级语法规则语法版本号的总标题下包括下列个部分第部分各部分公用的语法规则及每部分的语法服务目录第部分批式电子数据交换专用的语法规则第部分交互式电子数据交换专用的语法规则第部分批式电子数据交换语法和服务报告报文报文类型为第部分批式电子数据交换安全规则真实性完整性
2、和源抗抵赖性第部分安全鉴别和确认报文报文类型为第部分批式电子数据交换安全规则保密性第部分电子数据交换中的相关数据第部分密钥和证书管理报文报文类型为第部分交互式电子数据交换安全规则将来还有可能增加新的部分对应于第四版它的发布与实施不影响我国年根据制定的国家标准本标准的附录附录是标准的附录附录附录附录附录附录附录是提示的附录本标准由中华人民共和国国家信息化办公室提出本标准由全国文件格式和数据元标准化技术委员会全国信息技术标准化技术委员会归口本标准起草单位中国标准化与信息分类编码研究所电子工业部标准化研究所本标准主要起草人李颖吴志刚胡涵景张荣静王颜尊魏宏刘碧松前言国际标准化组织是一个世界性的各国标准
3、机构国家成员体联盟国际标准的制定工作一般通过技术委员会完成对某个已建立的技术委员会的项目感兴趣的每个成员体有权对该技术委员会表述意见任何与有联络关系的官方和非官方的国际组织都可直接参与制定国际标准与国际电工委员会在电工技术标准的所有领域密切合作由技术委员会正式通过的国际标准草案在被理事会接受为国际标准之前须分发到各成员体进行表决按照的工作程序在得到至少的成员体投票赞成之后该标准草案才成为国际标准本国际标准第四版由联合国欧洲经济委员会第四工作组起草作为的组成部分由行政商业和工业中的单证和数据元通过快速表决程序采纳为现行标准在联合国用于行政商业和运输业电子数据交换的应用级语法规则的总标题下由下列几
4、部分组成各部分公用的语法规则及每部分的语法服务目录批式电子数据交换专用的语法规则交互式电子数据交换专用的语法规则批式电子数据交换语法和服务报告报文报文类型为批式电子数据交换安全规则真实性完整性和源抗抵赖性安全鉴别和确认报文报文类型为批式电子数据交换安全规则保密性电子数据交换中的相关数据密钥和证书管理报文报文类型为交互式电子数据交换安全规则将来还有可能增加新的部分在本标准中附录和附录是标准的附录是本标准不可分割的组成部分引言根据批式或交互式处理的需求本标准包含了用于结构化在开放环境中交换的电子报文中的数据的应用级规则联合国欧洲经济委员会已经同意把这些规则作为用于行政商业和运输业电子数据交换的应用
5、级语法规则这些规则是联合国贸易数据交换目录的一部分还包含批式和交互式报文设计指南通讯规范及协议不在本标准的范围之内本标准是的一个新增部分它提供了一种保护批式结构即报文包组或交换的可选能力中华人民共和国国家标准用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第部分批式电子数据交换安全规则真实性完整性和源抗抵赖性国家质量技术监督局批准实施范围本标准规定了用于安全的语法规则本标准阐述了根据所建立的安全机制为报文包级组级和交换级安全提供真实性完整性和源抗抵赖性的方法一致性与一个标准一致意味着支持其所有需求包括所有选项如果不是所有选项都被支持则任何一致性声明都应包含一个说明用于标识那些被声明为
6、与其一致的选项如果所交换的数据的结构和表示符合本标准中规定的语法规则则这些数据处于一致性状态当支持本标准的设备能创建和或解释其结构和表示与本标准一致的数据时这些设备处于一致性状态与本标准的一致应包含与和的一致当在本标准中标识出在相关标准中定义的条款时这些条款应构成一致性判定条件的组成部分引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性数据元和交换格式信息交换日期和时间表示法信息处理系统开放系统互连基本参考模型第部分安全体系结构信息技术通用多八位编码字符集第部分体系结构与基本多文种平
7、面信息技术开放系统互连目录第部分鉴别框架信息技术安全技术密钥管理第部分框架信息技术开放系统互连开放系统的安全框架第部分概述信息技术开放系统互连开放系统的安全框架第部分鉴别框架信息技术开放系统互连开放系统的安全框架第部分抗抵赖性框架信息技术开放系统互连开放系统的安全框架第部分完整性框架定义本标准采用的定义见的附录批式的安全头段组和安全尾段组的使用规则报文包级安全集成报文包安全附录和附录描述了与报文包传送有关的安全威胁及针对这些威胁的安全服务本条描述报文包级安全的结构本标准描述的安全服务对于任一现有的报文应通过在段后紧跟安全头段组和在段前加入安全尾段组来提供对于任一现有的包应通过在段后紧跟安全头段
8、组和在段前加入安全尾段组来提供安全头段组和安全尾段组图描述了表示报文级安全的一个交换图表示报文级安全的一个交换示意图图描述了表示包级安全的一个交换图表示包级安全的一个交换示意图安全头段组和安全尾段组的结构见表表表安全头段组和安全尾段组的段表报文级安全标记名称状态最大次数报文头段组安全头安全算法段组证书安全算法安全结果报文体段组安全尾安全结果报文尾表安全头段组和安全尾段组的段表包级安全标记名称状态最大次数客体头段组安全头安全算法段组证书安全算法安全结果客体段组安全尾安全结果客体尾注报文头报文尾客体头和客体尾在中规定本标准对它们不做进一步说明用于安全头段组和安全尾段组的段和数据元的完整目录规范见附
9、录数据段说明段组安全头段组本段组标识了所采用的安全服务和安全机制并包含了执行确认计算所需的数据如果对报文包采用不同的安全服务如完整性和源抗抵赖性或几个参与方采用了相同的安全服务则在同一报文包中可以有几个不同的安全头段组安全头本段规定了应用于包含本段在内的报文包的安全服务与该安全服务有关的各参与方即安全数据元发起方和安全数据元接受方可在本段中标识除非在采用非对称算法时它们被无歧义地用证书即段标识在下述情况之一出现时应在段中使用复合数据元安全标识细目采用对称算法采用非对称算法时为区别安全发起方证书和安全接受方证书而提交两个证书在后一种情况下中的参与方标识数据元中的任一个应与在段组的段中出现的某个中
10、被限定为证书持有者的参与方标识相同同时数据元应标识所涉及的参与方的功能即发起方或接受方复合数据元安全标识细目中的数据元密钥名称可用来在发送方和接收方之间建立密钥关系该密钥关系也可通过使用段组的段中的复合数据元算法参数中的数据元密钥标识来建立如果不需要传送段组中的段因为加密机制已事先在参与方间商定可使用段中的然而在同一安全头段组中本标准强烈推荐使用中的或中带有限定符的中的一个而不是两个都使用段可规定用于段组中段以及相应的安全尾组中的段的二进制区的过滤函数段可包含一个用于提供顺序完整性的安全顺序号和安全元素的创建日期安全算法本段标识了安全算法及该算法的用法并包含了所需的技术参数该算法应是直接应用于
11、报文包的算法该算法可以是对称算法散列函数或压缩算法例如对数字签名而言该算法指明所使用的与报文相关的散列函数非对称算法不应直接在段组中的段内引用只可在由段触发的段组中出现段允许出现三次一次用于提供段中规定的安全服务所需的对称算法或散列函数其余两次在中描述需要时可使用填充机制指示段组证书组当使用非对称算法时本段组包含了用来验证应用于报文包的安全方法所需的数据当采用非对称算法来标识所使用的非对称密钥对时即使不使用证书也应使用证书段组在段中应给出整个证书段组包括段或只用于无歧义地标识所使用的非对称密钥对所需的数据元如果两个参与方已经交换了证书或如果证书可从数据库中获得则可避免整个证书的出现当决定引用非
12、证书诸如时应在段的数据元中标识该证书的语法和版本这样的证书可在包中传送本段组允许出现两次一次用于报文包的发送方证书报文包的接收方将用它来验证发送方的签名另一次则是在发送方为了对称密钥的保密性而使用接收方公开密钥的情况下用于报文包的接收方证书只用证书参考引用如果在同一个安全头段组中该段组出现两次则可用复合数据元安全标识细目和数据元证书参考将它们区分开来如果不使用非对称算法该段组应被省略证书本段包含证书持有者的凭证并标识生成该证书的认证机构代码型数据元过滤函数应标识用于段组的段和段的二进制区的过滤函数段中的可以出现两次一次用于证书持有者识别使用包含于本证书内的公开密钥相对应的私有密钥进行签名的那一
13、方另一次用于证书发布者认证机构安全算法本段标识了安全算法及该算法用法并包括所需的技术参数在段组中段可出现三次分别标识证书发布者用于计算证书的散列值的算法散列函数证书发布者用于生成证书即签署根据证书内容计算出的散列函数的结果的算法非对称算法发送方用于签署报文包即签署根据证书内容计算出的散列函数的结果的算法非对称算法或发送方使用的接收方非对称算法非对称算法该算法用来加密应用于报文包内容的对称算法所需的密钥并且这个密钥在由段触发的段组中被引用需要时可使用填充机制指示安全结果本段包含了认证机构应用于证书的安全功能的结果该结果应是由认证机构通过签署根据凭证数据计算出的散列结果而得出的证书的签名对证书而言
14、签名计算始于段的第一个字符即终于最后一个段的最后一个字符包括紧随该段的分隔符段组安全尾组本段组包含与安全头段组的链接和应用于报文包的安全功能的结果安全尾本段在安全头段组与安全尾段组间建立一个链接并说明了包含在这些组中安全段的数目安全结果本段包含应用于报文包的安全功能的结果这些安全功能是在被链接的安全头段组中规定的根据在被链接的安全头段组中规定的安全机制该结果应为下列两种结果之一根据在安全头段组的段组中的段中指明的算法直接对报文包进行计算而得出的结果通过用非对称算法签署散列结果而计算出来的结果其中非对称算法在安全头段组的段组中的段中指明散列结果是根据在安全头段组的段组中的段中指明的算法对报文包进
15、行计算而得出的安全应用的范围安全应用的范围有两种可能性每个完整性值鉴别值及数字签名的计算始于当前的安全头段组并包含当前的安全头段组和报文体客体本身在这种情况下安全应用的范围不应包括其他的安全头段组或安全尾段组安全头段组始于第一个字母终于结束该安全头段组的分隔符报文体客体始于结束最后一个安全头段组的分隔符之后的第一个字符终于第一个安全尾段组的第一个字符前的分隔符因此以这种方式集成的安全服务的执行顺序未被规定它们彼此间完全独立图描述了上述这种情况在安全头段组中定义的安全服务的应用范围用阴影框表示安全头段组安全头段组安全头段组报文体客体安全尾段组安全尾段组安全尾段组图应用范围仅为安全头段组和报文体包
16、示意图计算始于当前的安全头段组并包含当前的安全头段组和有关的安全尾段组在这种情况下安全应用的范围应包括当前的安全头段组报文体客体以及其他所有被嵌入的安全头段组和安全尾段组该范围应包括从当前的安全头段组的第一个字符到有关的安全尾段组的第一个字符之前的分隔符的每一个字符图描述了上述这种情况在安全头段组中定义的安全服务的应用范围用阴影框表示安全头段组安全头段组安全头段组报文体客体安全尾段组安全尾段组安全尾段组图应用范围从安全头段组到安全尾段组示意图对每个新增的安全服务可选择上述两种范围中的一个在上述两种情况中安全头段组和有关的安全尾段组之间的关系应由和段中的数据元安全参考号提供使用原理服务的选择安全
17、头段组可包含下列通用信息所应用的安全服务有关的参与方的标识所使用的安全机制唯一的值顺序号和或时间标记接收的抗抵赖性请求当同一结构需要多种安全服务时安全头段组可以出现多次这就是涉及多对参与方的情况但是当同一对参与方需要多个安全服务时这些服务可以含于一对安全头段组和安全尾段组之中就好像某个服务隐含于其他服务中一样真实性如果结构要求源鉴别服务则应使用一对适当的安全头段组和安全尾段组并根据规定的原理提供该项服务源鉴别安全服务应在段组的段中规定算法则在该段组的段中标识安全发起方应计算在安全尾段组中的段中传送的真实性值安全接受方应查证该真实性值如果基于防拆硬件或可信第三方实施适当的源鉴别服务则可把它当作一
18、个源抗抵赖性服务的实例这样的作法应在交换协定中予以明确完整性如果结构要求内容完整性服务则应使用一对适当的安全头段组和安全尾段组并根据规定的原理提供该项服务完整性安全服务应在段组的段中规定算法则在段组的段中标识该算法应是散列函数或对称算法安全发起方应计算在安全尾段组中的段中传送的完整性值安全接受方应查证该完整性值完整性服务可以通过源鉴别服务或源抗抵赖性服务的副产品的形式获得如果需要顺序完整性服务则应在安全头段组中或者包含安全顺序号和安全时间标记的两者之一或者包含这两者同时还应使用内容完整性服务源鉴别服务和源抗抵赖性服务中的一个源抗抵赖性如果结构要求源抗抵赖性服务则应使用一对适当的安全头段组和安全
19、尾段组并根据中规定的原理提供该项服务源抗抵赖性安全服务应在段组的段中规定散列算法则在段组中的段中标识如果使用证书还应在段组的段中标识用于签名的非对称算法如果证书不在报文包中传送接收方应知晓所采用的算法为非对称算法在这种情况下该非对称算法应在交换协定中明确安全服务发起方应计算在安全尾段组的中传送的数字签名安全服务接受方应查证该数字签名值源抗抵赖性服务还能提供内容完整性和源鉴别服务符合语法的内部表示法和过滤器采用数学算法计算完整性数值和数字签名带来两个问题第一个问题是计算结果依赖于字符集的内部表示这样发送方数字签名的计算及接收方对该签名的验证就应使用同一字符集编码来完成因此发送方可以指明用于生成原
20、始的安全确认结果的表示法第二个问题是安全的计算结果类似随机的位模式这可能会导致在传输期间和使用翻译软件时出现问题为避免这些问题利用过滤函数将位模式可逆地映射到所使用的字符集的特定的表示法上为简单起见每个安全服务只使用一个过滤函数这个映射的结果中所出现的异常终止符通过加入一个转义序列来处理批式的交换和组的安全头段组和安全尾段组的使用规则组级和交换级的安全集成的报文安全与报文包传送相关的安全威胁及针对这些威胁的安全服务见附录和附录也适用于组级和交换级在前一章描述的用于报文包的安全技术也可用于交换级和组级就组级和交换级安全而言应采用与报文包级安全中相同的安全头段组和安全尾段组即使安全应用于多个以上的
21、级上头尾交叉引用应总是应用于同一级在报文包级应用安全时被保护的结构是报文体或客体在组级时是该组中包括所有报文包的头和尾在内的所有报文包的集合在交换级时是该交换中包括所有报文包或组的头和尾在内的所有报文包或交换的集合安全头段组和安全尾段组图描述了同时含有交换级安全和组级安全的一个交换图同时含有交换级安全和组级安全的一个交换示意图安全头段组和安全尾段组的结构见表表表安全头段组和安全尾段组段表仅为交换级安全标记名称状态最大次数交换头段组安全头安全算法段组证书安全算法安全结果组或报文包段组安全尾安全结果交换尾表安全头段组和安全尾段组段表仅为组级安全标记名称状态最大次数组头段组安全头安全算法段组证书安全
22、算法安全结果报文包段组安全尾安全结果组尾注交换头交换尾组头和组尾在中规定因而不在本标准中作进一步的描述段和数据元的完整目录规范见附录安全应用的范围安全应用的范围有两种可能性每个完整性值鉴别值及数字签名的计算始于当前的安全头段组并包含当前的安全头段组和组包本身在这种情况下安全应用的范围不应包括其他的安全头段组或安全尾段组安全头段组始于第一个字母终于结束该安全头段组的分隔符组或报文包始于结束最后一个安全头段组的分隔符之后的第一个字符终于第一个安全段组的第一个字符前的分隔符因此以这种方式集成的安全服务的执行顺序未被规定它们彼此间完全独立图和图描述了上述这种情况在安全头段组中定义的安全服务的应用范围用
23、阴影框表示安全头段组安全头段组安全头段组组或报文包安全尾段组安全尾段组安全尾段组图应用范围仅为安全头段组和组或报文包示意图安全头段组安全头段组安全头段组报文包安全尾段组安全尾段组安全尾段组图应用范围仅为安全头段组和报文包示意图计算始于并包含当前的安全头段组终于有关的安全尾段组在这种情况下安全应用的范围应包括当前的安全头段组组或报文包以及其他所有被嵌入的安全头段组和安全尾段组该范围应包括从当前的安全头段组的第一个字符到有关的安全尾段组的第一个字符之前的分隔符的每一个字符图和图描述了上述这种情况在安全头段组中定义的安全服务的应用范围用阴影框表示安全头段组安全头段组安全头段组组或报文包安全尾段组安全
24、尾段组安全尾段组图应用范围从安全头段组到安全尾段组示意图安全头段组安全头段组安全头段组报文包安全尾段组安全尾段组安全尾段组图应用范围从安全头段组到安全尾段组示意图对每个新增的安全服务可选择上述两种范围中的一个在上述两种情况中安全头段组和有关的安全尾段组之间的关系应由和段中的数据元安全参考号提供附录标准的附录定义非对称算法一种使用公开密钥和私有密钥的密码算法鉴别见数据源鉴别证书用户的公开密钥连同其他相关信息并由认证机构用私有密钥进行签名使其不可伪造认证机构受一个或多个用户信任的负责创建和分发证书的机构保密性信息不泄露给未被授权的个人实体或进程或不为其所用的特性凭证用于为一个实体建立所声明的身份的
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 14805.5 1999 用于 行政 商业 运输业 电子 数据 交换 应用 语法 规则 版本号 部分 安全 真实性 完整性 抵赖

链接地址:http://www.mydoc123.com/p-231429.html