3.6 安全鉴别和确认报文与使用规则_国际贸易电子数据交换标准应用指南-QQ阅读男生轻小说网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

3.6 安全鉴别和确认报文与使用规则

3.6.1 适用范围

安全鉴别和确认报文的英文缩写为 AUTACK，与 3.4 节一样，它也是一个功能性的报文，一个具有安全鉴别和确认功能的报文。它用于鉴别所发送的交换、组、报文或包的安全，或对所接收到的交换、组、报文或包的安全。

安全鉴别和确认报文能用于：

● 对报文、包、组或交换提供安全鉴别、完整性或源抗抵赖性；

● 对被安全处理的报文、包、组或交换提供接收的安全确认或接收的抗抵赖性。

安全鉴别和确认报文适用于国内贸易和国际贸易，它基于行政、商业和运输业相关领域内的国际惯例，不受业务或行业类型的限制。

3.6.2 原则

3.6.2.1 概述

所应用的安全规程应由交换协议中进行贸易的参与方商定。

安全鉴别和确认报文（AUTACK）将其安全服务应用于其他EDIFACT结构（包括报文、包、组或交换），并且对经安全处理的 EDIFACT 结构提供安全确认，它还适用于贸易双方间需要安全处理的EDIFACT结构组合。

通过适用于原始EDIFACT结构内容中的加密机制来提供安全服务。这些加密机制处理的结果形成了 AUTACK 的报文体，并由相关数据（如所用的加密方法的参考、EDIFACT结构的参考号以及原始结构的日期和时间）补充。

AUTACK报文应使用标准的安全头段组和安全尾段组。

AUTACK报文适用于一个或多个交换中的一个或多个报文、包或组，或者适用于一个或多个交换。图3-23给出了把AUTACK报文与其他一个或多个报文一起使用的交换。

图3-23 在报文级（语义级）使用AUTACK报文说明安全性的交换

图3-23给出了在报文级（语义级）使用AUTACK报文说明安全性的交换。

3.6.2.2 鉴别功能的AUTACK的用法

1）概述

用于鉴别报文的AUTACK报文应由一个或多个其他EDIFACT结构的发起方或有权代表发起方的参与方来发送。其目的是简化 GB/T 14805.5 中所定义的安全服务，即相关EDIFACT结构的真实性、完整性和源抗抵赖性。

AUTACK 鉴别报文能够以两种方法实现：第一种方法是传输参考的 EDIFACT 结构的哈希值，该结构是由AUTACK自身进行安全处理的；第二种方法是用AUTACK只传输参考的EDIFACT结构的数字签名。

2）使用所引用EDIFACT结构的哈希值的鉴别

经安全处理的EDIFACT结构应在USX段（安全参考）出现时参考。对于每个USX将至少出现一个相对应的USY段（参考的安全性），它包括参考的EDIFACT结构实施安全功能的安全结果，如哈希值。

所实施的安全功能细目应包含在这个AUTACK的安全头段组中。用于参考的EDIFACT结构的USY和USH段应通过使用两个段中的数据元安全参考号来链接。

最后一步，在AUTACK中传输的所有信息应通过至少使用一对安全头段组和安全尾段组加以安全处理。

3）使用所引用EDIFACT结构的数字签名的鉴别

经安全处理的EDIFACT结构应在USX段（安全参考）出现时被引用。对于每一个USX段，应至少出现一个相对应的USY段（参考的安全性），且该段包含参考的EDIFACT结构的数字签名。所执行的安全功能细目应包含于本AUTACK安全头段组中。由于可对单个参考的EDIFACT结构进行多次安全处理，所以应通过在这两个段中使用数据元安全控制参考号将有关的USY段和安全头段组链接起来。

如果参考的 EDIFACT 结构的数字签名包含于 AUTACK（而不是一个哈希值）中，则AUTACK报文本身不需要进行安全处理。

3.6.2.3 确认功能的AUTACK的用法

用于确认报文的AUTACK报文应由已接收一个或多个经安全处理过的EDIFACT结构的接收方发送，或由有权代表接收方的一方发送。其目的是简化相关的EDIFACT结构，实现接收确认、内容完整性确认、完整性确认及接收的抗抵赖性。

确认功能只适用于经安全处理的 EDIFACT 结构。这个经安全处理过的 EDIFACT 结构应在一个USX段（安全参考）出现时参考。对于每一个USX来说，至少应出现一个相应的USY段。该USY段或者包含哈希值，或者包含参考的EDIFACT结构的数字签名。通过使用数据元安全参考号应将 USY 段与参考的 EDIFACT 结构的安全头段组或与对EDIFACT 结构进行安全处理的 AUTACK 报文的安全头段组链接起来。这个与参考的EDIFACT结构相对应的安全头包括了由原始报文的发送方对参考的EDIFACT结构实施的安全功能细目。

作为产生确认报文的最后一步，在AUTACK中传输的所有信息应由至少一对安全头段组和安全尾段组来进行安全处理。

在安全验证失败时，AUTACK也用于非确认功能。

注意：安全确认仅对经过安全处理的EDIFACT结构有意义。对EDIFACT结构进行安全处理是通过集成的安全段组（参见GB/T 14805.5）或通过AUTACK鉴别来实现的。

为了避免无限循环，用于确认功能的AUTACK不应要求其接收方发回AUTACK确认报文。

3.6.3 报文定义

3.6.3.1 数据段说明

            0010     UNH，报文头

开始并唯一标识报文的服务段。

安全鉴别和确认报文的报文类型代码为AUTACK。

数据元报文类型子功能标识用来指明AUTACK功能的用法，如鉴别、确认或拒绝确认。

符合本部分的报文必须在UNH段和复合数据元S009中包含下列数据。

            数据元    0065    AUTACK
                    0052     4
                    0054     1
                    0051     UN

            0020     段组1：USH-USA-SG2（安全头段组）

本段组标识所采用的安全服务和安全机制，并包含了执行确认计算所需的数据（见GB/T 14805.5中的定义）。

本段组应规定应用于AUTACK报文或参考的EDIFACT结构的安全服务和算法。

每个安全头段组应与一个安全尾段组相链接，并且某些安全头段组可以另外与USY段相链接。

            0030     USH，安全头

本段规定了应用于包含本段的报文/包，或应用于参考的EDIFACT结构的安全服务（见GB/T 14805.5定义）。

安全服务数据元应规定了AUTACK报文或参考的EDIFACT结构所采用的安全服务。

● 报文源鉴别和源的抗抵赖性安全服务仅适用于AUTACK报文本身；

● 参考的EDIFACT结构完整性、参考的EDIFACT结构源鉴别和参考的EDIFACT结构源抗抵赖性等安全服务只能由发送方用来对AUTACK参考的EDIFACT结构进行安全处理；

● 接收鉴别和接收的抗抵赖性安全服务只能由经过安全处理的 EDIFACT 结构的接收方对确认进行安全处理。

应按照GB/T 14805.5中的有关规定说明安全服务的安全应用范围。在一个AUTACK报文中，允许有四种安全应用范围：

● 前两种范围见GB/T 14805.5中第5章的定义；

● 第三种范围包括全部 EDIFACT 结构，其中安全应用范围是从参考的报文、包、组或交换的第一个字符（即“U”）开始到报文、包、组或交换的最后一个字符为止；

● 第四种范围是用户定义，即安全应用在发送方与接收方之间的协议中定义。

            0040     USA，安全算法

本段标识了安全算法及由该算法所产生的技术用法，并包含了所需的技术参数（见GB/T 14805.5定义）。

            0050     段组2:USC-USA-USR（证书段组）

当使用非对称算法时，本段组包含了用来验证应用于报文/包的安全方法所需的数据（见GB/T 14805.5定义）。

            0060     USC，证书

本段包含证书持有者的凭证，并标识生成该证书的认证机构（见GB/T 14805.5定义）。

            0070     USA，安全算法

本段标识了安全算法及由该算法所产生的技术用法，并包含了所需的技术参数（见GB/T 14805.5定义）。

            0080     USR，安全结果

本段包含认证机构应用于证书的安全功能的结果（见GB/T 14805.5定义）。

            0090     USB，经安全处理的数据标识

本段应包含交换发送方和交换接收方的标识及与这个AUTACK安全性有关的时戳，并且它应规定是否需要来自这个AUTACK报文接收方的一个安全确认。如果需要，这个报文发送方将希望得到一个报文接收方发送回来的AUTACK确认报文。

在USB中的交换发送方和交换接收方应参考出现AUTACK的交换中的发送方和接收方，以便保证这个信息的安全性。

            0100     段组3：USX-USY

本段组用来标识安全进程中的参与方，并提供有关参考的EDIFACT结构的安全信息。

            0110     USX，安全参考

本段应包含安全进程中所涉及的参与方的参考。

复合数据元安全日期和时间可出现包含参考的EDIFACT结构的最初生成日期和时间。

如果只出现数据元0020，而没有0048、0062和0800，则参考整个交换；如果出现数据元0020和0048，而没有出现0062和0800，则参考该组。

            0120     USY，参考的安全

本段包含一个与安全头段组的链接，以及按照被链接的安全头段组中所规定的安全服务应用于参考EDIFACT结构的结果。

当通过相同的安全服务并采用相同的安全参数对多个参考的 EDIFACT 结构进行安全处理时，多个USY段可以与相同的安全头段相链接。在这种情况下，安全头段组和相关多个USY之间的链接值应是相同的。

当AUTACK用于确认功能时，相应的安全头段组应参考的EDIFACT结构的安全头段组，或者是用于向参考的EDIFACT结构提供鉴别功能的AUTACK报文的安全头段组。

在一个USY段中数据元0534的值应与以下两种情况相对应的USH段中0534的值完全相同。

● 如果使用鉴别功能，则是当前的AUTACK（安全服务：参考的EDIFACT结构真实性、参考的EDIFACT结构的完整性或参考的EDIFACT结构的源抗抵赖性）；

● 如果使用确认功能，则是参考的EDIFACT结构本身，或者向参考的EDFIACT结构提供鉴别功能的AUTACK报文（安全服务：接收的抗抵赖性或接收鉴别）。

            0130     段组4：UST-USR（安全尾段组）

本段组包含与安全头段组的链接和应用于报文/包的安全功能的结果（见GB/T 14805.5定义）。

如果安全尾段组与某个参考的EDIFACT结构相关的安全头段组相链接，则可省略USR段。在这种情况下，相应的安全功能结果应能在链接到相应安全头段组的USY段中找到。

            0140     UST，安全尾

本服务段在安全头段组与安全尾段组间建立一个链接，并说明包含在这些组中的安全段的数目（见GB/T 14805.5定义）。

            0150     USR，安全结果

本段包含适用于在所链接的安全头段组中进行规定的（见GB/T 14805.5定义）报文/包的安全功能的结果。在这个段中，安全结果应适用于AUTACK报文本身。

            0160     UNT，报文尾

本段结束一个报文，并给出段的总数和报文的控制参考号。

3.6.3.2 报文结构

表3-7给出了段表。

表3-7 段表