GBT14805.7-2007行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4,语法发布号：1)批式电子数据交换安全规则(保密性).pdf 20页

'lCS35．240．60L70蝠目中华人民共和国国家标准GB／T14805．7--2007／ISO9735—7：2002代替GB／T14805．7—1999行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)第7部分：批式电子数据交换安全规则(保密性)Electronicdatainterchangeforadministration，commerceandtransport(EDIFACT)--Applicationlevelsyntaxrules(Syntaxversionnumber．．4，Syntaxreleasenumber．．1)一Part7：SecurityrulesforbatchEDI(Confidentiality)2007-08-24发布(IS09735—7：2002，IDT)2008-01-01实施宰瞀髅鬻瓣警雠瞥星发布中国国家标准化管理委员会饵111 目次GB／T14805．7—2007／ISO9735-7：2002前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯mISO前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．Ⅳ引言⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·v1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯．．⋯⋯⋯⋯⋯．⋯．⋯⋯⋯⋯⋯⋯⋯⋯．12一致性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯．⋯⋯⋯⋯．⋯13规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯14术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．．⋯⋯⋯25批式EDI保密性规则⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯“25．1EDIFACT保密性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯25．2使用原则⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．5附录A(资料性附录)报文保护示侧⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7A．1引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．7A．2叙述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯-·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯7A．3安全细目⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．．⋯⋯⋯⋯⋯⋯⋯⋯7附录B(资料性附录)处理示例⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯9B．1加密示例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯．⋯⋯⋯⋯⋯．9B．2解密示例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯一10附录c(资料性附录)保密性服务和算法⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯．．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11C．1目的和范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯11C．2采用对称算法和集成式安全段的组合来实现对EDIFACT结构的保密性⋯⋯⋯⋯⋯⋯⋯⋯12 刖吾GB／T14805．7--2007／I$O9735—7：2002GB／T14805<<行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)》由下列部分组成：——第1部分：公用的语法规则；——第2部分；批式电子数据交换专用的语法规则}——第3部分：交互式电子数据交换专用的语法规则；——第4部分：批式电子数据交换语法和服务报告报文(报文类型为CONTRL)；——第5部分：批式电子数据交换安全规则(真实性、完整性和源抗抵赖性)；——第6部分：安全鉴别和确认报文(报文类型为AuTAcK)；——第7部分：批式电子数据交换安全规则(保密性)；——第8部分；电子数据交换中的相关数据；——第9部分：安全密钥和证书管理报文(报文类型为KEYMAN)；——第lo部分：语法服务目录。将来还有可能增加新的部分。本部分为GB／T14805的第7部分。本部分等同采用ISO9735—7：2002(<行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)第7部分：批式电子数据交换安全规则(保密性)》。本部分代替GB／T14805．7—1999。本部分与GB／T14805．7～1999相比主要变化如下：——对IsO前言和本部分的引言部分进行了更新；——与GB／T14805．7—1999相比，在术语和段组的使用说明上有些变化；——删除了GB／T14805．7—1999中附录A“语法服务目录”，并对一些编辑性的错误进行了修正。本部分的附录A、附录B和附录C为资料性附录。本部分由中国标准化研究院提出。本部分由全国电子业务标准化技术委员会归口。本部分由中国标准化研究院负责起草。本部分的主要起草人：胡涵景、任冠华、刘颖、章建方、孙文峰、岳高峰、曹新九。本部分于1999年第一次发布。Ⅲ GB／T14805．7--2007／ISO9735—7：2002ISO前言ISO(国际标准化组织)是一个世界性的各国标准机构(ISO国家成员体)联盟。国际标准的制定工作一般通过ISO技术委员会完成。对某个已建立的技术委员会的项目感兴趣的每个成员体，有权对该技术委员会表述意见。任何与ISO有联络关系的官方和非官方的国际组织都可直接参与制定国际标准。ISO与IEC(国际电工委员会)在电工技术标准的所有领域密切合作。应按照ISO／IEC导则第3部分的规则起草国际标准。技术委员会的主要任务是起草国际标准。由技术委员会正式通过的国际标准草案在被ISO理事会接受为国际标准之前，须分发到各成员体进行表决．按照ISO的工作程序．至少75％的成员体投票赞成后，该标准草案才成为国际标准。应当注意的是本部分可能涉及到专利。ISO不负责标识这些专利。本部分由1SO／TC154(商业、工业和行政中的过程、数据元和单证)与UN／CEFACT联合语法工作组合作起草。本部分取代第一版标准(ISO9735—7：1998)。而在本部分第2章提到的ISO9735：1988及其1992年第l号修改单只是被临时性地保留。另外，为了更好地进行维护，已经将ISO9735各部分中的语法服务目录取消，并将它们重新组合成一个新的部分，即：IsO9735—10。在ISO9735—1；1998发布的时候。已经将ISO9735—10分配为“交互式EDI安全规则”部分。由于缺乏用户的支持，这部分内容被撤销，因此在本部分中删除了所有与“交互式EDI安全规则”有关的参考。在ISO9735各部分中的术语和定义被重新编排并被放在ISO9735l中。ISO9735在《行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)》的总标题下由下列几部分组成：——第1部分：公用的语法规则；——第2部分：批式电子数据交换专用的语法规则；——第3部分：交互式电子数据交换专用的语法规则；——第4部分：批式电子数据交换语法和服务报告报文(报文类型为CONTRL)；——第5部分：批式电子数据交换安全规则(真实性、完整性和源抗抵赖性)；——第6部分：安全鉴gq和确认报文(报文类型为AUTACK)；——第7部分：批式电子数据交换安全规则(保密性)；——第8部分：电子数据交换中的相关数据}——第9部分：安全密钥和证书管理报文(报文类型为KEYMAN)；——第10部分：语法服务目录。将来还有可能增加新的部分。本部分的附录A、附录B和附录C为资料性附录。Ⅳ 引言GB／T14805．7--2007／ISO9735-7：2002根据批式或交互式处理的需求，本部分包含了用于在开放环境中的电子报文交换中的结构化数据的应用级规则。联合国欧洲经济委员会(uN／EcE)已经同意把这些规则作为用于行政、商业和运输业电子数据交换(EDIFACT)的应用级语法规则。这些规则是联合国贸易数据交换目录(UNTDID)的一部分。UNTDID还包含批式和交互式报文设计指南。本部分适用于任何应用系统，如果这些报文符合UNTDID中的指南、规则和目录，则使用这些规则的报文仅被认为是EDIFACT报文。对于uN／EDlFAcT来说，这些报文应符合为批式或交互式报文所设计的规则。这些规则在UNTDID中进行维护。通信规范及协议不在本部分的范围之内。本部分是GB／T14805新增加的部分。它给出了EDIFACT结构(报文、包、组或交换)保密性的可选能力。V GB／T14805．7--2007／IS09735-7：2002行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)第7部分：批式电子数据交换安全规则(保密性)1范围本部分根据所建立的安全机制为批式EDIFACT安全规定了报文／包级、组级和交换级的保密性。2一致性尽管本部分应在段UNB(交换头)中出现的必备型数据元0002(语法版本号)中使用版本号“4”，和条件型数据元0076(语法发布号)使用发布号“01”，但是，为了能够与本部分相区别，继续使用早期版本中语法规则的交换应使用下列语法版本号：——IsO9735：1988：语法版本号：l；——IsO9735：1988(1990年修改并且重新印刷)：语法版本号：2；——lsO9735：1988及其1992年第l号修改单：语法版本号：3；一ISO9735：1998：语法版本号：4。与某个标准的一致性意味着支持其包括所有选项的所有需求。如果不支持所有选项，则任何一致性声明应包含-4"说明，用于标识那些声明与其一致的选项。如果所交换的数据的结构和表示符合本部分规定的语法规则，则这些数据处于一致性状态。当支持本部分的设备能够创建和／或解释其结构和表示与本部分一致的数据时，这些设备处于一致性状态。与本部分的一致性应包括与GB／T14805．1、GB／T14805．2、GB／T14805．5和GB／T14805．10的一致性。当在本部分中标识出在相关标准中定义的条款时，这些条款应构成一致性判定条件的组成部分。3规范性引用文件下列文件中的条款通过GB／T14805的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。14805．1—2007行政、商业和运输业电子数据交换(EDIFAcT)应用级语法规则(语法版本号：4，语法发布号：1)第1部分：公用的语法规则(ISO9735—1：2002，1DT)14805．2—2007行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号：1)第2部分：批式电子数据交换专用的语法规则(ISO9735—2：2002，IDT)14805．5—2007行政、商业和运输业电子数据交换(EDIFACT)应用级语法规则(语法版本号：4，语法发布号；1)第5部分：批式电子数据交换安全规则(真实性、完整性和源抗抵赖性)(ISO9735—5：2002，IDT)14805．102005用于行政、商业和运输业电子数据交换的应用级语法规则第10部分：语法服务目录(ISO9735—10：2002，IDT)18794．5—2003信息技术开放系统互连开放系统安全框架第5部分：机密性框架(ISO／IEC10181-5：1996，IDT)1 GB／T14805．7--2007／ISO9735—7：20024术语和定义14805．1—2007确立的术语和定义适用于本部分。5批式EDI保密性规则5．1EDIFACT保密性5．1．1概述14805．5—2007的附录A和附录B描述了与EDIFACT数据传送有关的安全威胁及针对这些威胁的安全服务。本条描述了为提供具有保密性安全服务的EDIFACT结构的解决方案。通过适当的加密算法对报文体、对象、报文／包或单个的报文／包／组分别进行加密，并连同任意安全头段组和安全尾段组一起来提供EDIFACT结构(报文、包、组或交换)的保密性。该加密数据可能被过滤，以便在限定能力的通信网中使用。5．1．2批式EDI的保密性5．1．2．1交换的保密性图1表示了一个进行了保密性安全处理的交换结构。服务串通知(UNA)、交换头段(UNB)和交换尾段(UNZ)不受加密的影响。如果使用压缩技术，应在加密前使用。在安全头段组中应规定加密算法、压缩算法和过滤算法及相关参数。交换一一一一======；；；；；5。。，—’。’‘’’--、UNAUNB安全头段组报文／包／段组安全尾段组＼＼$／／『UNALJNB安全头段组USDf加密教据fusu安全尾蜃纽L州Z围1内容(报文／包或组)已被加密的一个交换结构(示意图)5．1．2．2组的保密性图2表示了包含一个已加密组的交换结构，对于其他的安全服务这个加密组已经过安全处理。组头(uNG)和组尾(UNE)不受加密的影响。如果使用压缩技术，应在加密前使用。应在安全头段组中规定加密算法、压缩算法和过滤算法及相关参数。2交接一一：：：=二；；；5’’’一—’’‘’’’’、、JUNAUNB组lUNG安全头段组报文／包安全尾段组UNE＼＼函／UNG安全头段组USDl加密数据lUSU安全尾段组圈2内容(组体及相应的安全头段组和安全尾段组)已被加密的包含一个组的一次交换结构 GB／T14805．7--2007／IS09735-7：20025．1．2．3报文的保密性图3表示了一个包含一个加密报文的一次交换的结构，对于其他的安全服务该加密报文已经过安全处理。报文头段(UNH)和报文尾段(UNT)不受加密的影响。如果使用压缩技术，应在加密前使用。在安全头段组中应规定加密算法、压缩算法和过滤算法及相关参数。交换一一：：：：；；≯一——＼qAUNB报文I报文，，一_一一安全头段组报文体安全尾段组UNT＼＼≤茎与／安全头段组USD加密数据USU安全尾宦组图3内容(报文体及相应的安全头段组和安全尾段组)已被加密的包含一个报文的一次交换结构(示意图)5．1．2．4包的保密性图4表示了一个包含一个加密包的一次交换结构，对于其他安全服务该加密包已经过安全处理。包头段(UNO)和包尾段(UNP)不受加密的影响。如果使用压缩技术，应在加密前使用。在安全头段组中应规定加密算法、压缩算法和过滤算法及相关参数。交换一一-7—’’’。’’、-～IUNAUNB包J包—，一一，，一—～——～UNO安全头段组对童安全尾段组UNP＼＼≤兰}／lUNO安全头段组加密蕺据USU安全尾段组圈4内容(对象夏相应的安全头段组和安全尾段组)已被加密的包含一个包的交换结构(示意图)5．1．3数据加密头段和尾段的结构表l给出了安全头段组和安全尾段组的段表。衰1安全头段组和安全尾段组的段表标记名称状态最大次数⋯⋯一⋯段组1一⋯～C99一USH安全头M1USA安全算法C3{⋯⋯一～段组2一⋯一C2]：USC证书M1}；USA安全算法C3：lUSR安全结果C1—“ GB／T14805．7--2007／1S09735—7：2002表1(续)标记名称状态最大次数USD数据加密头M1加密数据USU数据加密尾M1⋯⋯⋯⋯段组”一⋯一一C99]UST安全尾M1USR安全结果C1—_j注：USH、USA、USC、USR和UST段在GB／T14805．10一2005中进行了规定。在本部分中。不对它们做进一步说明。5．1．4数据段说明段组1：usH—USA-SG2(安全头段组)本段组标识了所采用的安全服务和安全机制，并包含了执行验证计算所需的数据。这里只应含有～个用于保密性的安全头段组。USH，安全头本段规定了适用于包括本段在内的EDIFACT结构的保密性安全服务(见GB／T14805．5—2007中的定义)。usA，安全算法本段标识了安全算法及该算法的用法，并且包含了所需的技术参数。该算法应是适用于报文体、对象、报文／包或报文／包／组的算法。这些算法应是持有者对称算法、持有者压缩算法或持有者压缩完整性算法。非对称算法不应直接在段组I中的USA段内引用，只可在USC段触发的段组2中出现。如果在加密之前对数据进行压缩，USA则用于规定算法和可选的操作方式。附加的参数(如初始目录树)可规定为USA段中的参数值。如果采用压缩且所采用的压缩算法不包含内嵌的完整性验证，则可用USA段进行规定。完整性验证值是加密前通过压缩的文本计算得到的。在压缩数据内，完整性验证值的位置(即8位位组偏移值)可规定为参数值。完整性验证值的大小(以8位位组为单位)则通过所采用的完整性验证算法间接地给出。段组2：USC-USA-USR(证书段组)当使用非对称算法时，本段组包含了用来验证应用于EDIFACT结构的安全方法所需的数据(见GB／T14805．5—2007定义)。USC，证书本段包含证书持有者的凭证，并标识生成该证书的认证机构(见GB／T14805．5—2007定义)。usA，安全算法本段标识了安全算法及该算法的用法，并且包含了所需的技术参数。(见GB／T14805．5—2007定义)。usR，安全结果本段包含认证机构应用于证书的安全功能的结果(见GB／T14805．5—2007定义)。USD，数据加密头本段规定了压缩(可选)、加密和过滤(可选)数据的8位位组大小。可以规定用于标识所加密的EDIFAcT结构的参考号。如果给出参考号，USD和USU段中应采用相同的参考号。若加密前使用填充，则要说明填充的8位位组数。加密数据本部分包含了采用安全头段组所规定的加密算法和机制进行加密处理后的加密数据。USU，数据加密尾本段规定了压缩(可选)、加密和过滤(可选)数据的8位位组大小。可以规定用于标识所加密的EDIFACT结构的参考号。如果给出了参考号，则USD和USU段中应采用相同的参考号。d GB／T14805．7--2007／1S09735-7：2002段组n：usT_usR(安全尾段组)本段组包含了与安全头段组的链接和应用于EDIFACT结构安全功能的结果(见GB／T14805．5--2007定义)。UST，安全尾本段在安全头段组与安全尾段组问建立一个链接，并且说明了包含在这些组中安全段的数目，含USD段和USU段。USR，安全结果本段包含了应用于EDIFACT结构的安全功能的结果，这些安全功能是在被链接的安全头段组中进行规定的(见GB／T14805．5—2007定义)。对于保密性的安全服务本段不应出现。5．1．5用于保密性的数据加密头段和数据加密尾段加密成加密数据的EDIFACT结构封装在数据加密头段和数据加密尾段内。加密的数据及其相关的安全头段组和安全尾段组将替换原有的报文体、对象或报文／包／组。所采用的加密措施不影响加密的EDIFACT结构头和尾。加密的数据应紧跟在结束USD段的分隔符后面，USD段应以8位位组为单位来规定加密数据的长度。USU段跟随在加密数据之后，USU段再一次以8位位组为单位规定加密数据的长度，其长度应与USD段中的相同。5．1．6用于保密性的安全头段组和安全尾段组按GB／T14805．5—2007的定义，应包含一个规定保密性的安全头段组及一个相应的安全尾段组。用于保密性的安全尾段组应只包括一个UST段。如果EDIFACT结构被加密，则不应对该结构提供其他EDIFACT安全服务。5．2使用原则5．2．1多种安全服务如果除保密性外还需要多个安全服务，则应根据GB／T14805．52007确定的原则，EDIFACT结构的发送方应在加密之前实施其他的安全服务，接收方则应在解密之后进行相关的验证处理。5．2．2保密性EDIFACT结构的保密性应按GB／T18794．52003所规定的原则进行处理。应在安全头段组中规定保密性的安全服务，而相关的算法应在段组1的USA段中进行标识。该USA段也可包括建立安全的发送方与安全的接收方之间密钥联络所需的数据。安全发起方应从EDIFACT结构头段(交换、组、报文或包)的段终止符后开始对该结构加密，直到该结构段尾(交换、组、报文或包)的第一个字符前止，其结果看做加密的数据。当接收加密的数据时，安全接收方应对加密的数据解密并将其还原为不包括头段和尾段的原始EDIFACT结构。5．2．3内部表示和过滤函数加密处理的结果是一个近似随机的位串。这可能会在某些限定能力通信网中产生问题。为了避免这类问题，可采用过滤函数将位串可逆地映射为某个特定的字符集。采用过滤函数的结果是增加了加密数据的长度。不同的过滤函数可采用不同的扩展因子。有些过滤函数允许过滤后的文本包含目标字符集中的任意字符，其中包括如段终止符的服务字符，而其他过滤函数可能过滤掉这些服务字符。在USD段和USU段中数据元“8位位组数据长度”内传输的数据长度应表示经过加密处理的(压缩和过滤)数据的长度。该数据将用来决定加密的数据结束。所采用的过滤函数应在保密性安全头段组中USH段的0505(过滤函数，代码型)内指明。5．2．4加密之前压缩技术的使用加密计算的开销与加密的数据大小有关，因此加密前对数据进行压缩是很有效的。5 GB／T14805．7--2007／1S09735—7：2002大多数压缩技术不会影响加密的文本，甚至过滤的文本，如需要压缩应在加密前进行。因此，当压缩技术应用于保密性安全服务时，安全头段组可以包括加密前数据已被压缩的标识，还可标识所采用的压缩算法和可选参数。在这种情况下，当对加密数据进行解密后，应在恢复原始EDIFACT结构前对数据进行解压。5．2．5操作的处理顺序5．2．5．1加密及相关操作当对EDIFACT结构实施保密性安全处理时，应执行如下操作：a)压缩EDIFACT结构(任选)并根据压缩数据计算完整性值(可选)；b)加密(已压缩和完整性保护的)EDIFACT结构；c)过滤(已压缩和完整性保护的)加密数据(可选)。5．2．5．2解密和相关操作当将加密的EDIFACT结构还原为原有的EDIFACT结构时，应执行如下操作：a)对已过滤的加密数据消过滤(是否过滤)；b)对加密数据解密；c)验证压缩数据的完整性值(是否以完整性值给出)并扩展(即解压)已解密数据以还原为原始EDlFACT结构(是否压缩)。 附录A(资料性附录)报文保护示例GB／T14805．7--2007／lSO9735-7：2002A．1引盲这里给出了一个示例来说明安全服务段的应用。本报文保密性的示例是基于假定的EDIFACT付款通知。这里描述的安全机制完全与报文类型无关并且可以应用于任何EDIFACT报文。本示例说明了当使用一个基于对称算法的方法时如何使用安全服务段，以便确保报文内容的保密性。在参与方之间对称密钥已经被提前交换，并且安全头段组仅包含两个简单段。A．2叙述1995年4月9日，A公司委托A银行(分类代码603000)，记人A公司借方账号00387806款值54345．10英镑。此款项要付给B银行(分类代码201827)中WestDock，MilfordHaven的B公司的账号00663151。付款以发票62345结算。收款人是销售部的Jones先生。A银行要求采用“报文保密性”的安全服务功能来对该付款通知进行加密处理。这种要求是通过报文发送端采用对称“数据加密标准”(DES)对报文体进行加密来实现的。假定在A公司和A银行间秘密DES密钥已被事先交换。为降低信息传输量，在应用加密技术前对报文体进行压缩。用于压缩报文体的算法是IsO12042。A．3安全细目以下将列出与保密性有关的安全头段组和安全尾段组。安全头安全服务报文保密性安全参考号该安全头的参考号是1过滤函数用十六进制过滤器过滤全部二进制值源字符集编码当加密时报文用ASCII8位进行编码安全标识细目报文发送方(加密报文的用户)A公司的Smith先生安全标识细日报文接收方(解密报文的用户)A银行安全序号本报文的安全序号是001安全日期和时间安全时间戳是：日期：1995年4月9Et时间：13：59：50 (；B／T14805．7--2007／1509735-7：2002安全算法算法的使用为实现报文保密性所使用的对称算法密钥算法的操作方式使用密码块链接方式算法使用EDS算法填充机制填充方式采用二进制零算法参数算法参数限定符为预先交换对称密钥的名称，标识算法参数值算法参数值采用称为ENCKEYl的密钥安全算法算法的使用加密之前为缩小报文量采用压缩算法算法采用IsO12042压缩算法加密头8位位组数据长度压缩、加密和过滤报文体的大小加密参考号参考号是1填充位组数填充位组数是4加密数据压缩、加密和过滤报文体加密尾8位位组数据长度压缩、加密和过滤报文体的大小加密参考号参考号是l安全尾安全段数值为6(即USH，USA，USA，USD，USU，UST)安全参考号安全尾的参考号是1 附录B(资料性附录)处理示例GB／T14805．7--2007／1S09735-7：2002B．1加密示例图B．1给出了一个处理示例。实施可以选择不同的顺序和不同的实现部分。图B．1加密EDIFACT结构所涉及的处理过程 GB／T14805．7--2007／ISO9735-7：2002B．2解密示例图B．2给出了一个处理示例。实施可以选择不同的顺序和不同的实现部分。10圈B．2解密EDIFACT结构所涉及的处理过程 附录C(资料性附录)保密性服务和算法GB／T14905．7--2007／IS09735-7：2002C．1目的和范围本附录给出了安全段组中数据元和代码值可能组合的几种示例。所选择的这些示例是用来说明几种基于国际标准而被广泛应用的安全技术。由于可组合的全集太大，因此本附录不能全部列出。在此所做的选择不必认为是对该算法或操作方式的认可。用户可以根据所要防范的安全威胁选择合适的安全技术。本附录的目的是一旦用户选定了安全技术，便向他提供一个全面的起点以得到适合其特定应用的解决方案。矩阵中使用的代码表(完整代码表的子集)：0501安全服务，代码型4保密性0525加密的操作方式，代码型2CBC(DES操作方式)16DSMR(给报文复原的数字签名模式)36CTS(RC5操作方式)算法参数限定符对称密钥，以对称密钥加密对称密钥，以公开密钥加密对称密钥名称密钥加密密钥名称模数指数模数长度0523算法的使用，代码型3发布者签名4发布者哈希函数5持有者加密8持有者压缩9持有者压缩完整性算法，代码型DES(数据加密标准)IDEA(国际数据加密算法)RSARIPEMD-160(专用的哈希函数#1)ZLIB(数据压缩算法)CRC一32(循环冗余校验)Is012042(数据压缩)RC5(可变密钥大小对称分组密码)0563确认值限定符1唯一确认值，，眦。4¨M他站”约瞄。。。如比如H GB／T14805．7--2007／IS09735—7：20020577安全参与方限定符1报文发送方2报文接收方3证书持有者4鉴别方使用的缩略语a123，l，ABC99CACA—SigEne-KeyExpKEK—NKeyNLellModLPK／CA0589填充机制，代码型1零填充2PKCS#1填充4TBSS填充安全参考号的表示法认证机构认证机构签名加密密钥公开指数密钥加密密钥密钥名称(已压缩)、已加密(和过滤)的8位位组数据长度公开模数公开模数长度认证机构的公开密钥C．2采用对称算法和集成式安全段的组合来实现对EDlFACT结构的保密性表C．1为下列特定情况建立了的关系；a)集成式报文／包／组／交换级的安全(GB／T14805．72007)；b)使用对称算法进行加密；c)使用对称算法和非对称算法进行密钥交换；d)提供的安全服务是保密性；e)使用DES、IDEA和RC5算法来提供保密性。这里给出3个示例：1)DES、CBC操作方式及接收方所知的秘密密钥。所需的秘密密钥是通过发送方和接收方共享的“密钥加密密钥”加密的。“密钥加密密钥”是通过该密钥名称来引用的。本算法不使用数据压缩技术。填充方式采用零填充并需要有关填充位组数的附加信息。2)RC5、CTS操作方式及接收方所知的秘密密钥。所需的秘密密钥是通过发送方和接收方共享的“密钥加密密钥”加密的。“密钥加密密钥”是通过该密钥名称来引用的。加密前，应用ISO12042压缩技术。3)IDEA、CBC操作方式及TBSS填充技术。用于加密的秘密密钥是通过使用接收方的公开密钥进行交换的。公开密钥是嵌入在证书中的。加密前。应用z—lib压缩和CRC一32完整性保护技术。f)虽然发送方和接收方共享密钥，但双方事先未就加密机制完全达成协议。因此，所用的全部算法和操作方式都要明确指出；g)这里只列出与实际应用的安全技术、算法及操作方式相关的安全区域；h)USC段包含了认证机构用于签发证书的哈希函数标识和签名函数。接收方已知道认证机构用于证书签名的公开密钥。该公开密钥在USC段中通过名称被引用。 表c．1关系矩阵GB／T14805．7--2007／IS09735-7：2002最大保密性标记名称状态注次数例1例2例3SGlC99每个安全服务1个lUSH安全头M10501安全服务，代码型Ml40534安全参考号M1a1231ABc99$500安全标识细目C2(发送方)———0577安全参与方限定符Ml1l051I安全参与方标识C发送方标识一S500安全标识细目C2(接收方)0577安全参与方限定符M20511安全参与方标识C接收方标识USA安全算法C3(加密算法)$502安全算法Ml0523算法的使用，代码型M50525加密的操作方式，代码型C23620527算法，代码型C12940589填充机制，代码型C1242$503算法参数C9一个加密密钥0531算法参数限定符M560554算法参数值M密钥$503算法参数C9一个密钥加密密钥0531算法参数限定符M100554算法参数值MKey-NUSA安全算法C3(压缩算法)$502安全算法Ml0523算法的使用，代码型M80525加密的操作方式，代码型C0527算法，代码型C2718USA安全算法C3(压缩完整性算法)$502安全算法M10523算法的使用，代码型M90525加密的操作方式，代码型C0527算法．代码型C25SG2C2仅一个t接收方证书USC证书M113 GB／T14805．7--2007／IS09735—7：2002表c．1(续)最大保密性标记名称状态注次数例1例2例3S500安全标识细目C2(证书持有者)0577安全参与方限定符M30511安全参与方标识C持有者标记$500安全标识细目C2(鉴别参与方)0577安全参与方限定符M40538密钥名称C(PK／C名称)05ll安全参与方标识C认证机构标识USA安全算法C3(证书签名认证机构的哈希函数)S502安全算法M10523算法的使用，代码型M40525加密的操作方式．代码型C0527算法，代码型C14USA安全算法C3(证书签名认证机构的签名函数)$502安全算法M10523算法的使用，代码型M30525加密的操作方式．代码型C160527算法．代码型ClOS503算法参数C9(认证机构公开密钥模数)0531算法参数限定符M120554算法参数值MMod$503算法参数C9(认证机构公开密钥指数)0531算法参数限定符M130554算法参数值MExp$503算法参数C9(认l正机构公开密钥模数长度)053I算法参数限定符M140554算法参数值MMod—I，USA安全算法C3(证书持有者的加密函数)$502安全算法M10523算法的使用，代码型M50525加密的操作方式，代码型C0527算法，代码型Ci0$503算法参数C9(持有者公开密钥模数)0531算法参数限定符M120554算法参数值MMod14 采C．1(续)GB／T14805．7--2007／ISO9735-7：2002最大保密性标记名称状态注次数例1例2铡3$503算法参数C9(持有者公开密钥指数)0531算法参数限定符M130554算法参数值MExp$503算法参数C9(持有者公开密铜模数长度)0531算法参数限定符M140554算法参数值MMod-LUSR安全结果C1$508确认结果M20563确认值限定符Ml0560确认值性CCA-SigUSD数据加密头M105568位位组数据长度MlLen0518加密参考号ClA0582填充位组数Cl3安全化的数据结构(报文体、对象、报文／包／组)USU加密数据尾M105588位位组数据长度M】0518加密参考号C1ASGnC99每个安全服务一一lUST安全尾M10534安全参考号Ma1231ABC99—0588安全段数M15612注l；这两个结构必须有相同出现数。注2：填充仅应用于规定加密算法的USA段。注3：填充位组散仅作为示例。'