Đang tải... (xem toàn văn)
Tiêu chuẩn Quốc gia TCVN ISO 9735-5:2004 quy định các quy tắc cú pháp an ninh EDIFACT và cung cấp một phương pháp tạo quy tắc an ninh mức thông điệp/gói, nhóm và trao đổi đối với tính xác thực, tính toàn vẹn và không từ chối gốc, phù hợp với các cơ chế an ninh đã được xác lập.
TCVN ISO 9735-5:2004 ISO 9735-5:2002 TRAO ĐỔI DỮ LIỆU ĐIỆN TỬ TRONG QUẢN LÝ HÀNH CHÍNH, THƯƠNG MẠI VÀ VẬN TẢI (EDIFACT) - CÁC QUY TẮC CÚ PHÁP MỨC ỨNG DỤNG (SỐ HIỆU PHIÊN BẢN CÚ PHÁP: 4, SỐ HIỆU PHÁT HÀNH CÚ PHÁP: 1) - PHẦN 5: QUY TẮC AN NINH CHO EDI LƠ (TÍNH XÁC THỰC, TÍNH TỒN VẸN VÀ KHÔNG TỪ CHỐI GỐC) Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number: 4, Syntax release number: 1) - Part 5: Security rules for batch EDI (authenticity, integrity and non-repudiation of origin) Lời nói đầu TCVN ISO 9735-5:2004 hồn tồn tương đương với ISO 9735-5:2002 TCVN ISO 9735-5:2004 Ban kỹ thuật tiêu chuẩn TCVN/TC 154 Quá trình, yếu tố liệu tài liệu thương mại, công nghiệp hành biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ ban hành Tiêu chuẩn chuyển đổi năm 2008 từ Tiêu chuẩn Việt Nam số hiệu thành Tiêu chuẩn Quốc gia theo quy định khoản Điều 69 Luật Tiêu chuẩn Quy chuẩn kỹ thuật điểm a khoản Điều Nghị định số 127/2007/NĐ-CP ngày 1/8/2007 Chính phủ quy định chi tiết thi hành số điều Luật Tiêu chuẩn Quy chuẩn kỹ thuật Lời giới thiệu Bộ tiêu chuẩn TCVN ISO 9735 gồm phần sau, với tiêu đề chung “Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1)”: - Phần 1: Quy tắc cú pháp chung - Phần 2: Quy tắc cú pháp đặc trưng cho EDI lô - Phần 3: Quy tắc cú pháp đặc trưng cho EDI tương tác - Phần 4: Thông điệp báo cáo dịch vụ cú pháp cho EDI lô (kiểu thông điệp - CONTRL) - Phần 5: Quy tắc an ninh cho EDI lơ (tính xác thực, tính tồn vẹn thừa nhận nguồn gốc) - Phần 6: Thông điệp báo nhận xác thực an ninh (kiểu thông điệp - AUTACK) - Phần 7: Quy tắc an ninh cho EDI lơ (tính tin cậy) - Phần 8: Dữ liệu liên kết EDI - Phần 9: Thông điệp quản lý chứng nhận khóa an ninh (kiểu thơng điệp KEYMAN) - Phần 10: Danh mục dịch vụ cú pháp Tiêu chuẩn bao gồm quy tắc mức ứng dụng cho cấu trúc liệu trao đổi thông điệp điện tử môi trường mở, dựa yêu cầu hai xử lý lô tương tác Các giao thức đặc tả truyền thơng nằm ngồi phạm vi tiêu chuẩn Phần cung cấp khả tùy ý bảo mật cấu trúc EDIFACT lô, nghĩa thông điệp, gói, nhóm trao đổi TRAO ĐỔI DỮ LIỆU ĐIỆN TỬ TRONG QUẢN LÝ HÀNH CHÍNH, THƯƠNG MẠI VÀ VẬN TẢI (EDIFACT) - CÁC QUY TẮC CÚ PHÁP MỨC ỨNG DỤNG (SỐ HIỆU PHIÊN BẢN CÚ PHÁP: 4, SỐ HIỆU PHÁT HÀNH CÚ PHÁP: 1) - PHẦN 5: QUY TẮC AN NINH CHO EDI LƠ (TÍNH XÁC THỰC, TÍNH TỒN VẸN VÀ KHƠNG TỪ CHỐI GỐC) Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number:4, Syntax release number: 1) Part 5: Security rules for batch EDI (authenticity, integrity and non-repudiation of origin) Phạm vi áp dụng Tiêu chuẩn quy định quy tắc cú pháp an ninh EDIFACT cung cấp phương pháp tạo quy tắc an ninh mức thơng điệp/gói, nhóm trao đổi tính xác thực, tính tồn vẹn khơng từ chối gốc, phù hợp với chế an ninh xác lập Sự phù hợp Do tiêu chuẩn sử dụng số hiệu phiên “4” phần tử liệu bắt buộc 0002 (số hiệu phiên cú pháp), sử dụng số hiệu phát hành “01” phần tử liệu điều kiện 0076 (số hiệu phát hành cú pháp), mà số hiệu xuất đoạn UNB (tiêu đề trao đổi), nên trao đổi sử dụng cú pháp định nghĩa phiên trước phải sử dụng số hiệu phiên cú pháp sau để phân biệt chúng với với tiêu chuẩn này: - ISO 9735:1988: Số hiệu phiên cú pháp: - ISO 9735:1988 (Bổ sung in lại năm 1990): Số hiệu phiên cú pháp: - ISO 9735:1988 Bổ sung 1:1992: Số hiệu phiên cú pháp: - ISO 9735:1998: Số hiệu phiên cú pháp: Sự phù hợp với tiêu chuẩn có nghĩa tất yêu cầu tiêu chuẩn đó, bao gồm tất lựa chọn phải tuân thủ Nếu khơng tn thủ tất lựa chọn phải công bố rõ lựa chọn công bố phù hợp Dữ liệu trao đổi phù hợp cấu trúc biểu diễn liệu phù hợp với quy tắc cú pháp quy định tiêu chuẩn Các thiết bị hỗ trợ tiêu chuẩn phù hợp chúng tạo và/hoặc thông dịch liệu cấu trúc biểu diễn phù hợp với tiêu chuẩn Sự phù hợp với tiêu chuẩn phải bao gồm phù hợp với TCVN ISO 9735-1, TCVN ISO 9735-2 TCVN ISO 9735-10 Khi nêu tiêu chuẩn này, điều khoản định nghĩa tiêu chuẩn liên quan phải chuẩn mực phù hợp Tiêu chuẩn viện dẫn - TCVN ISO 9735- 1:2003, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 1: Quy tắc cú pháp chung - TCVN ISO 9735- 2:2003, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 2: Quy tắc cú pháp đặc trưng cho EDI lô - TCVN ISO 9735- 6:2004, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 6: Thông điệp báo nhận xác thực an ninh (kiểu thông điệp - AUTACK) - TCVN ISO 9735- 7:2004, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 7: Quy tắc bảo mật cho EDI lô (độ tin cậy) - TCVN ISO 9735- 8:2004, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 8: Dữ liệu liên kết EDI - TCVN ISO 9735-10:2004, Trao đổi liệu điện tử quản lý hành chính, thương mại vận tải (EDIFACT) - Các quy tắc cú pháp mức ứng dụng (Số hiệu phiên cú pháp: 4, Số hiệu phát hành cú pháp: 1) - Phần 10: Thư mục dịch vụ cú pháp - ISO/IEC 10181- 2:1996, Information technology - Open systems interconnection - Security frameworks for open systems: Authentication framework (Công nghệ thông tin - Liên kết hệ thống mở - Cơ cấu an ninh hệ thống mở: Cơ cấu xác thực) - ISO/IEC 10181- 4:1997, Information technology - Open systems interconnection - Security frameworks for open systems: Non-repudiation framework (Công nghệ thông tin - Liên kết hệ thống mở - Cơ cấu an ninh hệ thống mở: Cơ cấu chấp nhận) - ISO/IEC 10181- 6:1996, Information technology - Open systems interconnection - Security frameworks for open systems: Integrity framework (Công nghệ thông tin - Liên kết hệ thống mở - Cơ cấu an ninh hệ thống mở: Cơ cấu toàn vẹn) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa TCVN ISO 9735-1:2003 Quy tắc sử dụng nhóm đoạn tiêu đề an ninh cho EDI lơ 5.1 An ninh mức thơng điệp/gói - an ninh thơng điệp/gói tích hợp 5.1.1 Khái qt Mối đe dọa an ninh liên quan đến việc truyền thơng điệp/gói dịch vụ an ninh liên quan trình bày Phụ lục A B Mục mô tả cấu trúc an ninh mức thơng điệp/gói EDIFACT Các dịch vụ an ninh đề cập tiêu chuẩn phải đảm bảo cách đặt nhóm đoạn tiêu đề đuôi an ninh sau đoạn UNH trước đoạn UNT, cho thông điệp, đặt sau đoạn UNO trước đoạn UNP cho gói 5.1.2 Các nhóm đoạn tiêu đề an ninh Hình mô tả trao đổi với an ninh mức thơng điệp Hình - Trao đổi với an ninh mức thơng điệp (giản đồ) Hình mơ tả trao đổi với an ninh mức gói Hình - Trao đổi với an ninh mức gói (giản đồ) 5.1.3 Cấu trúc nhóm đoạn tiêu đề đuôi an ninh Bảng - Bảng nhóm đoạn tiêu đề an ninh (an ninh mức thơng điệp) Bảng - Bảng nhóm đoạn tiêu đề đuôi an ninh (an ninh mức gói) CHÚ THÍCH Đặc tả danh mục hồn chỉnh đoạn phần tử liệu, bao gồm đoạn tiêu đề thông điệp UNH, đuôi thông điệp UNT, tiêu đề đối tượng UNO đuôi đối tượng UNP quy định TCVN ISO 9735-10 Danh mục phần tử liệu đoạn không mô tả thêm tiêu chuẩn 5.1.4 Giải thích đoạn liệu Nhóm đoạn 1: USH - USA - SG2 (nhóm tiêu đề an ninh) Nhóm đoạn xác định dịch vụ an ninh chế an ninh áp dụng bao gồm liệu cần thiết để tiến hành tính tốn tính hợp lệ Có thể có số nhóm đoạn tiêu đề an ninh khác thơng điệp/gói có nhiều dịch vụ an ninh khác áp dụng cho thơng điệp/gói (chẳng hạn như: tính tồn vẹn không từ chối gốc) nhiều bên áp dụng dịch vụ an ninh USH, Tiêu đề an ninh Đoạn thuộc thơng điệp/gói rõ dịch vụ an ninh áp dụng cho thơng điệp/gói Các bên liên quan đến dịch vụ an ninh (bên tạo lập phần tử an ninh bên tiếp nhận phần tử an ninh) định danh đoạn này, trừ bên liên quan xác định rõ ràng thông qua chứng (đoạn USC) sử dụng thuật tốn khơng đối xứng Các chi tiết định danh an ninh phần tử liệu hỗn hợp (S500) phải sử dụng đoạn USH, - sử dụng thuật toán đối xứng, - sử dụng thuật tốn khơng đối xứng hai chứng tồn nhằm phân biệt chứng bên tạo lập chứng bên tiếp nhận Trong trường hợp sau, định danh bên tham gia phần tử S500 (một phần tử liệu S500/0511, S500/0513, S500/0515, S500/0586) phải giống định danh bên hạn định “bên sở hữu chứng chỉ” phần tử liệu S500 tồn đoạn USC nhóm đoạn phần tử liệu S500/0577 phải xác định chức (bên tiếp nhận bên tạo lập) bên tham gia Có thể sử dụng tên khóa phần tử liệu phần tử liệu hỗn hợp chi tiết dịch vụ an ninh (S500/0538) để thiết lập mối quan hệ khóa bên gửi bên tiếp nhận Cũng thiết lập mối quan hệ khóa cách sử dụng định danh phần tử liệu khóa phần tử liệu hỗn hợp thơng số thuật tốn (S503/0554) đoạn USA nhóm đoạn Có thể sử dụng S500/0538 đoạn USH khơng có nhu cầu truyền đoạn USA nhóm đoạn (bởi chế mật mã hóa thỏa thuận trước bên) Tuy nhiên, nhóm tiêu đề an ninh, khuyến cáo sử dụng S500/0538 đoạn USH S503/0554 với hạn định thích hợp đoạn USA, không sử dụng hai nhóm tiêu đề an ninh Đoạn USH rõ hàm lọc sử dụng cho file nhị phân đoạn USA nhóm đoạn đoạn USR nhóm an ninh tương ứng Đoạn USH bao gồm số hiệu thứ tự an ninh để quy định tính toàn vẹn thứ tự ngày tạo phần tử an ninh USA, thuật toán an ninh Đoạn xác định thuật toán an ninh, kỹ thuật sử dụng tạo thuật toán tham số kỹ thuật yêu cầu Thuật toán phải áp dụng trực tiếp thơng điệp/gói Thuật tốn thuật toán đối xứng, hàm băm thuật toán nén Ví dụ chữ ký số hàm băm phụ thuộc-thơng điệp sử dụng Thuật tốn khơng đối xứng không đề cập trực tiếp đoạn USA nhóm đoạn 1, xuất nhóm đoạn khởi tạo đoạn USC Đoạn USA phép xuất ba lần Một lần xuất sử dụng cho thuật toán đối xứng hàm băm yêu cầu để cung cấp dịch vụ an ninh quy định đoạn USH Hai lần xuất khác trình bày TCVN ISO 9735-7 Nếu thích hợp, sử dụng dẫn chế đệm Nhóm đoạn 2: USC - USA - USR (nhóm chứng chỉ) Nhóm đoạn chứa liệu cần thiết để xác định tính hợp lệ phương pháp an ninh áp dụng cho thơng điệp/gói sử dụng thuật tốn khơng đối xứng Nhóm đoạn chứng phải sử dụng sử dụng thuật tốn khơng đối xứng để xác định cặp khóa khơng đối xứng sử dụng, chí chứng khơng sử dụng Nhóm đoạn chứng đầy đủ (bao gồm đoạn USR) phần tử liệu cần thiết để xác định cách rõ ràng cặp khóa khơng đối xứng sử dụng phải có đoạn USC Có thể không cần thiết đưa chứng đầy đủ chứng vừa trao đổi hai bên tham gia gọi từ sở liệu Khi áp dụng chứng khơng phải EDIFACT (ví dụ X.509), cú pháp phiên chứng phải xác định phần tử liệu 0545 đoạn USC Các chứng gửi gói EDIFACT Nhóm đoạn phép xuất hai lần, lần chứng bên gửi thơng điệp/gói (mà bên tiếp nhận thơng điệp/gói sử dụng để xác minh chữ ký bên gửi), lần xuất khác chứng bên tiếp nhận thơng điệp/gói (chỉ dành cho tham chiếu chứng chỉ) trường hợp mà bên gửi sử dụng khóa cơng bố bên tiếp nhận để đảm bảo tính bảo mật khóa đối xứng Nếu nhóm đoạn xuất hai lần nhóm đoạn tiêu đề an ninh, phần tử liệu hỗn hợp chi tiết định danh an ninh (S500) với phần tử liệu tham chiếu chứng (0536) cho phép phân biệt chúng Nhóm đoạn phải lược bỏ khơng sử dụng thuật tốn khơng đối xứng USC, chứng Đoạn chứa thông tin lực bên sở hữu chứng xác định tổ chức chứng nhận cấp chứng Hàm lọc phần tử liệu, mã hóa (0505), phải xác định hàm lọc sử dụng cho trường nhị phân đoạn USA đoạn USR nhóm đoạn Phần tử liệu S500 xuất hai lần Chứng USC: lần cho bên sở hữu chứng (xác định bên ký với khóa riêng kết hợp với khóa cơng bố chứng này), lần cho bên phát hành chứng (tổ chức chứng nhận CA) USA, thuật toán an ninh Đoạn xác định thuật toán an ninh, cách sử dụng kỹ thuật tạo thuật toán chứa tham số kỹ thuật yêu cầu Ba lần xuất khác đoạn USA nhóm đoạn là: Bên phát hành chứng sử dụng thuật toán để tính tốn giá trị băm chứng (hàm băm); Bên phát hành chứng sử dụng thuật toán để tạo chứng (nghĩa ghi kết hàm băm tính tốn vào nội dung chứng chỉ) (thuật tốn khơng đối xứng); 3a - Bên gửi sử dụng thuật toán để ghi vào thơng điệp/gói (nghĩa ghi kết hàm băm mơ tả đoạn USH, tính tốn vào nội dung thơng điệp/gói) (thuật tốn khơng đối xứng); 3b - Bên gửi sử dụng thuật tốn khơng đối xứng bên tiếp nhận để mật mã hóa khóa u cầu thuật tốn đối xứng thích hợp với nội dung thơng điệp/gói đưa nhóm đoạn khởi tạo đoạn USH (thuật tốn khơng đối xứng) Nếu thích hợp, sử dụng dẫn chế đệm USR, kết an ninh Đoạn chứa kết chức an ninh áp dụng cho chứng tổ chức chứng nhận Kết chữ ký chứng tính tốn tổ chức chứng nhận cách ký nhận kết băm tính toán theo liệu khả Đối với chứng chỉ, việc tính tốn chữ ký bắt đầu với ký tự đoạn USC (ký tự “U”) kết thúc với ký tự cuối đoạn USA cuối (bao gồm dấu phân tách theo sau đoạn USA) Nhóm đoạn n: UST - USR (nhóm an ninh) Nhóm đoạn chứa liên kết với nhóm đoạn tiêu đề an ninh kết chức an ninh áp dụng cho thơng điệp/gói UST, đuôi an ninh Đoạn thiết lập liên kết nhóm đoạn tiêu đề an ninh nhóm đoạn đuôi an ninh, cho biết số lượng đoạn an ninh chứa nhóm USR, kết an ninh Đoạn chứa kết chức an ninh áp dụng cho thơng điệp/gói quy định nhóm tiêu đề an ninh liên kết Tùy thuộc vào chế an ninh quy định nhóm tiêu đề an ninh, kết phải: - tính tốn trực thơng điệp/gói thuật tốn quy định đoạn USA nhóm đoạn nhóm tiêu đề an ninh, - tính tốn cách ký nhận với thuật tốn khơng đối xứng quy định đoạn USA nhóm đoạn nhóm đoạn tiêu đề an ninh, kết băm tính tốn theo thơng điệp/gói thuật tốn quy định đoạn USA nhóm đoạn nhóm đoạn tiêu đề an ninh 5.1.5 Phạm vi áp dụng an ninh Có hai khả cho phạm vi áp dụng an ninh: Việc tính tốn giá trị xác thực tồn vẹn tính tốn chữ ký số bắt đầu bao gồm nhóm đoạn tiêu đề an ninh thời thân thông điệp đối tượng Trong trường hợp này, nhóm đoạn tiêu đề an ninh an ninh khác phải nằm ngồi phạm vi Nhóm đoạn tiêu đề an ninh phải tính từ ký tự đầu tiên, ký tự “U”, đến dấu phân tách kết thúc nhóm đoạn tiêu đề an ninh này, gồm hai, thân thông điệp đối tượng từ ký tự sau dấu phân tách kết thúc nhóm đoạn tiêu đề an ninh cuối đến dấu phân tách trước ký tự nhóm đoạn an ninh Do trật tự dịch vụ an ninh tích hợp theo cách thực hiện, không cần quy định Các dịch vụ an ninh hoàn toàn độc lập với Hình minh họa trường hợp (phạm vi áp dụng dịch vụ an ninh xác định tiêu đề an ninh biểu diễn khối bóng) Nhóm Nhóm Nhóm đoạn đoạn đoạn UNH/U tiêu đề tiêu đề tiêu đề NO an ninh an ninh an ninh THÂN THÔNG ĐIỆP/ĐỐI TƯỢNG Nhóm Nhóm Nhóm đoạn đoạn đoạn UNT/U an đuôi an đuôi an NP ninh ninh ninh Hình - Phạm vi áp dụng: nhóm đoạn tiêu đề an ninh thân thông điệp/đối tượng (giản đồ) Tính tốn bắt đầu bao gồm nhóm đoạn tiêu đề an ninh hành tới nhóm đoạn đuôi an ninh liên kết Trong trường hợp nhóm đoạn tiêu đề an ninh thời thân, thơng điệp đối tượng, tất nhóm đoạn tiêu đề đuôi an ninh nhúng khác nằm phạm vi Phạm vi phải bao gồm tất ký tự từ ký tự đầu tiên, ký tự “U”, nhóm đoạn tiêu đề an ninh thời tới dấu phân tách trước ký tự nhóm đoạn an ninh liên kết Hình minh họa trường hợp (phạm vi áp dụng dịch vụ an ninh xác định tiêu đề an ninh biểu diễn khối bóng) Nhóm Nhóm Nhóm đoạn đoạn đoạn UNH/U tiêu đề tiêu đề tiêu đề NO an ninh an ninh an ninh THÂN THƠNG ĐIỆP/ĐỐI TƯỢNG Nhóm Nhóm Nhóm đoạn đoạn đoạn UNT/U an an an NP ninh ninh ninh Hình - Phạm vi áp dụng: từ nhóm đoạn tiêu đề an ninh tới nhóm đoạn an ninh (giản đồ) Đối với dịch vụ an ninh, chọn hai cách Trong hai trường hợp, mối quan hệ nhóm đoạn tiêu đề an ninh nhóm đoạn an ninh tương ứng phải cung cấp số hiệu tham chiếu an ninh phần tử liệu đoạn UST USH 5.2 Nguyên tắc sử dụng 5.2.1 Lựa chọn dịch vụ Nhóm đoạn tiêu đề an ninh gồm thơng tin chung sau: - dịch vụ an ninh áp dụng; - định danh bên liên quan; - chế an ninh sử dụng; - giá trị “duy nhất” (số hiệu thứ tự và/hoặc thẻ thời gian); - khơng-từ chối u cầu nhận Nếu có dịch vụ an ninh yêu cầu cho cấu trúc EDIFACT nhóm đoạn tiêu đề an ninh xuất nhiều lần Trong trường hợp có nhiều cặp bên liên quan Tuy nhiên, nhiều dịch vụ yêu cầu hai bên chúng gộp cặp nhóm đoạn tiêu đề bảo vệ mà chắn dịch vụ bao hàm hồn tồn 5.2.2 Tính xác thực Nếu có yêu cầu xác thực gốc cấu trúc EDIFACT phải phù hợp với nguyên tắc ISO/IEC 10181-2 cách sử dụng cặp nhóm đoạn tiêu đề an ninh an ninh thích hợp Dịch vụ an ninh xác thực gốc phải quy định đoạn USH thuật toán định danh đoạn USA nhóm đoạn phải thuật toán đối xứng Bên khởi tạo dịch vụ an ninh phải tính tốn giá trị xác thực truyền đoạn USR nhóm đoạn đuôi an ninh Bên tiếp nhận dịch vụ an ninh phải kiểm tra giá trị xác thực Dịch vụ bao gồm dịch vụ tồn vẹn đạt dịch vụ phụ dịch vụ khơng từ chối gốc Nếu thực cách thích hợp dịch vụ “xác thực gốc” dựa phần cứng chống giả mạo chứng thực bên thứ ba xem trường hợp dịch vụ “không từ chối gốc” Trên thực tế, dịch vụ xác định thỏa thuận trao đổi 5.2.3 Tính tồn vẹn Nếu có u cầu tính tồn vẹn nội dung cấu trúc EDIFACT phải phù hợp với nguyên tắc ISO/IEC 10181-6 cách sử dụng cặp nhóm đoạn tiêu đề an ninh an ninh thích hợp Dịch vụ an ninh tính tồn vẹn phải quy định đoạn USH, thuật tốn xác định đoạn USA nhóm đoạn Thuật toán phải hàm băm thuật toán đối xứng Bên khởi tạo dịch vụ an ninh phải tính tốn giá trị tồn vẹn truyền đoạn USR nhóm đoạn an ninh Bên tiếp nhận dịch vụ an ninh phải kiểm tra giá trị tồn vẹn Dịch vụ đạt dịch vụ phụ dịch vụ xác thực gốc dịch vụ không từ chối gốc Nếu có u cầu tồn vẹn thứ tự số hiệu thứ tự an ninh thẻ thời gian an ninh hai phải chứa nhóm đoạn tiêu đề an ninh phải sử dụng dịch vụ tính tồn vẹn nội dung dịch vụ xác thực gốc dịch vụ không từ chối gốc 5.2.4 Khơng từ chối gốc Nếu có u cầu khơng từ chối gốc cấu trúc EDIFACT phải phù hợp với nguyên tắc ISO/IEC 10181-4 cách sử dụng cặp nhóm đoạn tiêu đề an ninh an ninh thích hợp Dịch vụ an ninh không từ chối gốc phải quy định đoạn USH thuật toán băm phải quy định đoạn USA nhóm đoạn 1, thuật tốn khơng đối xứng sử dụng cho chữ ký đoạn USA nhóm đoạn sử dụng chứng Nếu chứng khơng truyền thơng điệp/gói thuật tốn khơng đối xứng phải xác định hoàn toàn bên tiếp nhận Trong trường hợp này, thuật tốn khơng đối xứng phải xác định thỏa thuận trao đổi Bên khởi tạo dịch vụ an ninh phải tính tốn chữ ký số truyền đoạn USR nhóm đoạn an ninh Bên tiếp nhận dịch vụ an ninh phải xác định giá trị chữ ký số Dịch vụ cung cấp dịch vụ tính tồn vẹn nội dung xác thực gốc 5.3 Các lọc biểu diễn nội theo cú pháp EDIFACT Có hai vấn đề sử dụng thuật toán toán học để tính tốn giá trị tồn vẹn chữ ký số Vấn đề thứ kết tính toán phụ thuộc vào biểu diễn nội ký tự Do việc tính tốn chữ ký số thực bên gửi bên tiếp nhận phải sử dụng ký tự mã hóa để xác định Do bên gửi việc biểu diễn sử dụng để đưa kết an ninh gốc hợp lệ Vấn đề thứ hai kết tính tốn mẫu bít ngẫu nhiên Đây ngun nhân gây vấn đề trình truyền với phần mềm biên dịch Để tránh vấn đề mẫu bít ánh xạ ngược tới biểu diễn đặc biệt ký tự phương pháp hàm lọc Để đơn giản, dịch vụ an ninh sử dụng hàm lọc Bất kỳ tượng kết thúc khác thường đầu ánh xạ giải trình tự Quy tắc sử dụng nhóm đoạn tiêu đề an ninh nhóm trao đổi cho EDI lơ 6.1 An ninh mức nhóm mức trao đổi - an ninh thơng điệp tích hợp Các mối đe dọa an ninh liên quan đến việc truyền thơng điệp/gói dịch vụ an ninh dùng để chống lại mối đe dọa mơ tả phụ lục A B hợp lệ mức nhóm trao đổi Các kỹ thuật mô tả mục trước áp dụng an ninh cho thơng điệp/gói áp dụng cho nhóm trao đổi Đối với an ninh mức nhóm trao đổi, phải sử dụng nhóm đoạn tiêu đề nhóm đoạn mơ tả mức thơng điệp/gói, tham chiếu ngang tiêu đề - đuôi phải áp dụng mức, dịch vụ an ninh áp dụng riêng nhiều mức Khi dịch vụ an ninh áp dụng mức thơng điệp/gói cấu trúc bảo vệ thân thông điệp đối tượng Tại mức nhóm, cấu trúc bảo vệ các thơng điệp/gói nhóm bao gồm tất tiêu đề thơng điệp/gói Tại mức trao đổi, cấu trúc bảo vệ thơng điệp/gói nhóm trao đổi bao gồm tất tiêu đề đuôi thông điệp nhóm 6.2 Nhóm đoạn tiêu đề an ninh Hình - Mơ tả trao đổi với an ninh mức nhóm mức trao đổi Hình - Trao đổi với an ninh mức nhóm mức trao đổi (giản đồ) 6.3 Cấu trúc nhóm đoạn tiêu đề an ninh Bảng - Bảng đoạn nhóm đoạn tiêu đề đuôi an ninh (chỉ an ninh mức trao đổi) IV’ = F0 F0 F0 F0 F0 F0 F0 F0; quy tắc đệm phần biến B.3 ISO/IEC 10118-2:2000; việc biến đổi u u’ quy định phụ lục A ISO/IEC 10118-2:2000 Thuật toán Thuật toán mã khối DES sử dụng THUẬT TỐN AN NINH Sự sử dụng thuật tốn Bên phát hành sử dụng thuật toán để ký Mật mã hóa phương thức hoạt động Khơng có phương thức hoạt động liên quan Thuật toán RSA thuật tốn khơng đối xứng THAM SỐ THUẬT TỐN Hạn định tham số thuật toán định danh tham số thuật tốn hàm mũ cơng bố cho việc xác minh chữ ký Giá trị tham số thuật tốn Khóa chung BÊN CHỨNG NHẬN THAM SỐ THUẬT TOÁN Hạn định tham số thuật toán định danh tham số thuật tốn mơđun cho việc xác minh chữ ký Giá trị tham số thuật tốn Các mơđun BÊN CHỨNG NHẬN THAM SỐ THUẬT TOÁN Hạn định tham số thuật toán định danh tham số thuật toán độ dài mơđun BÊN CHỨNG NHẬN (theo bít) Giá trị tham số thuật tốn Các mơ đul BÊN CHỨNG NHẬN dài 512 bít KẾT QUẢ AN NINH Chữ ký số chứng KẾT QUẢ HỢP LỆ Hạn định giá trị hợp lệ Giá trị hợp lệ Giá trị hợp lệ Chữ ký số 512 bít ĐI AN NINH TIÊU ĐỀ AN NINH SỐ HIỆU THAM CHIẾU AN NINH Số tham chiếu đuôi an ninh SỐ LƯỢNG ĐOẠN AN NINH KẾT QUẢ AN NINH Chữ ký số thông điệp KẾT QUẢ HỢP LỆ Hạn định giá trị hợp lệ Giá trị hợp lệ Giá trị hợp lệ Chữ ký số 512 bít C.4 Ví dụ 3: khơng từ chối gốc, kỹ thuật thứ hai C.4.1 Tình Ngân hàng A muốn sử dụng dịch vụ an ninh không - từ chối gốc cho đơn đặt hàng tốn ơng Smith Cơng ty A Cơng ty A yêu cầu báo nhận an ninh từ ngân hàng A (không - từ chối việc nhận bên tiếp nhận) truyền thông điệp AUTACK Dịch vụ an ninh không - từ chối gốc thiết lập bên trao đổi để hoàn tất đơn đặt hàng toán cách sử dụng chữ ký số Cả hai bên đồng ý chữ ký tính tốn RSA 512 bít (thuật tốn khơng đối xứng) nhờ giá trị tồn vẹn - 64 bít tính tốn CBC chế độ DES (thuật toán đối xứng) Chứng để định danh khóa cơng bố ơng Smith phát hành bên chứng nhận hai bên tin cậy C.4.2 Chi tiết an ninh TIÊU ĐỀ AN NINH DỊCH VỤ AN NINH Không - từ chối gốc SỐ HIỆU THAM CHIẾU AN NINH Số tham chiếu tiêu đề HÌNH THỨC ĐÁP ỨNG Yêu cầu báo nhận HÀM LỌC Tất giá trị nhị phân (chữ ký) lọc lọc thập lục phân MÃ HĨA BỘ KÝ TỰ GỐC Thơng điệp mã hóa thành mã ASCII bít chữ ký phát hành CHI TIẾT ĐỊNH DANH AN NINH Hạn định bên tham gia an ninh Bên gửi thông điệp (bên tham gia an ninh thông điệp: ông Smith công ty A) CHI TIẾT ĐỊNH DANH AN NINH Hạn định bên tham gia an ninh Bên tiếp nhận thông điệp (bên xác minh thông điệp an ninh: Ngân hàng A) SỐ HIỆU THỨ TỰ AN NINH Số hiệu thứ tự an ninh thông điệp 001 NGÀY THÁNG VÀ THỜI GIAN AN NINH Thẻ thời gian an ninh có dạng: ngày:196 01 15, thời gian: 10:05:30 THUẬT TỐN AN NINH Thuật tốn đối xứng sử dụng để tính giá trị tồn vẹn THUẬT TỐN AN NINH Sử dụng thuật toán Sử dụng thuật toán băm bên sở hữu Phương thức hoạt động mật mã Chuỗi khối mã; ISO/IEC 10116 (n - bít) Một giá trị tồn hóa vẹn 64 bít tính toán; giá trị ban đầu số nhị phân; khóa - bí mật DES sử dụng Nó truyền mã hóa khóa cơng bố Ngân hàng A Thuật toán Thuật toán mã khối DES sử dụng THAM SỐ THUẬT TOÁN Hạn định tham số thuật toán Định danh giá trị tham số thuật tốn theo sau khóa đối xứng mã hóa khóa cơng bố Giá trị tham số thuật tốn Khóa đối xứng mã hóa khóa cơng bố Ngân hàng A THAM SỐ THUẬT TỐN Hạn định tham số thuật toán Định danh giá trị tham số thuật toán theo sau giá trị văn ban đầu Giá trị tham số thuật toán Giá trị văn ban đầu (tất số nhị phận 0) CHỨNG CHỈ Chứng ông Smith (Bên gửi thông điệp) THAM CHIẾU CHỨNG CHỈ Chứng tham chiếu: 00000001, BÊN CHỨNG NHẬN CHI TIẾT ĐỊNH DANH AN NINH Hạn định bên tham gia an ninh CHI TIẾT ĐỊNH DANH AN NINH Bên sở hữu chứng (ông Smith Công ty A) Hạn định bên tham gia an ninh Xác thực bên tham gia (chứng ông Smith phát hành tổ chức chứng nhận gọi là: bên chứng nhận) Tên khóa Khóa cơng bố bên chứng nhận sử dụng để phát hành chứng ông Smith PK1 CÚ PHÁP VÀ PHIÊN BẢN CHỨNG CHỈ Phiên chứng thư mục đoạn dịch vụ UN/EDIFACT HÀM LỌC Tất giá trị nhị phân (các chữ ký số khóa) lọc lọc thập lục phân MÃ HĨA BỘ KÝ TỰ GỐC Thơng tin chứng mã hóa thành mã ASCII bít chứng phát hành KÝ TỰ DỊCH VỤ CHỮ KÝ Ký tự dịch vụ sử dụng chữ ký điện tử hóa Hạn định ký tự dịch vụ chữ ký Ký tự dịch vụ dấu kết thúc đoạn Ký tự dịch vụ chữ ký Giá trị “’” (dấu nháy) KÝ TỰ DỊCH VỤ CHỮ KÝ Ký tự dịch vụ sử dụng chữ ký điện tử hóa Hạn định ký tự dịch vụ chữ ký Ký tự dịch vụ dấu phân tách phần tử liệu Ký tự dịch vụ chữ ký Giá trị “+” (dấu cộng) KÝ TỰ DỊCH VỤ CHỮ KÝ Ký tự dịch vụ sử dụng chữ ký điện tử hóa Hạn định ký tự dịch vụ chữ ký Ký tự dịch vụ dấu phân tách phần tử liệu thành phần Ký tự dịch vụ chữ ký Giá trị “:” (dấu hai chấm) KÝ TỰ DỊCH VỤ CHỮ KÝ Ký tự dịch vụ sử dụng chữ ký điện tử hóa Hạn định ký tự dịch vụ chữ ký Ký tự dịch vụ dấu phân tách lặp lại Ký tự dịch vụ chữ ký Giá trị “*” (dấu hoa thị) KÝ TỰ DỊCH VỤ CHỮ KÝ Ký tự dịch vụ sử dụng chữ ký điện tử hóa Hạn định ký tự dịch vụ chữ ký Ký tự dịch vụ ký tự phát hành Ký tự dịch vụ chữ ký Giá trị “?” (dấu hỏi) NGÀY THÁNG VÀ THỜI GIAN AN NINH Thời gian phát hành chứng Ngày Chứng ông Smith tạo vào 931215 lúc 14:12:00 NGÀY THÁNG VÀ THỜI GIAN AN NINH Bắt đầu thời gian hợp lệ chứng Ngày Q trình có hiệu lực ông Smith bắt đầu: 1996 01 01 000000 NGÀY THÁNG VÀ THỜI GIAN AN NINH Kết thúc thời gian hợp lệ chứng Ngày Kỳ hạn chứng ông Smith hết hiệu lực: 1996 12 31 235959 THUẬT TỐN AN NINH Thuật tốn khơng đối xứng ơng Smith sử dụng để ký THUẬT TỐN AN NINH Sử dụng thuật toán Bên sở hữu sử dụng thuật toán để ký Phương thức hoạt động mật mã Khơng có lao động liên quan hóa Thuật tốn RSA thuật tốn khơng đối xứng THAM SỐ THUẬT TỐN Hạn định tham số thuật tốn định danh tham số thuật tốn hàm mũ cơng bố việc xác minh chữ ký Giá trị tham số thuật tốn Khóa cơng bố ơng Smith THAM SỐ THUẬT TỐN Hạn định tham số thuật tốn định danh tham số thuật tốn mơđun cho việc xác minh chữ ký Giá trị tham số thuật tốn Mơđun ơng Smith THAM SỐ THUẬT TỐN Hạn định tham số thuật toán định danh tham số thuật toán độ dài mơđun ơng Smith (bằng bít) Giá trị tham số thuật tốn Các mơ đun ơng Smith dài 512 bít THUẬT TỐN AN NINH Hàm băm BÊN CHỨNG NHẬN sử dụng để phát hành chứng ơng Smith THUẬT TỐN AN NINH Sử dụng thuật toán Bên phát hành sử dụng thuật toán băm Mật mã hóa phương thức hoạt động Hàm băm n bình phương RSA; phụ lục D, CCITT X509 ISO/IEC 9594-8 Thuật tốn Thuật tốn khơng đối xứng RSA THUẬT TỐN AN NINH Thuật tốn khơng đối xứng BÊN CHỨNG NHẬN sử dụng để ký THUẬT TOÁN AN NINH Sự sử dụng thuật toán Bên phát hành sử dụng thuật tốn để ký Mật mã hóa phương thức hoạt động Khơng có phương thức hoạt động liên quan Thuật toán RSA thuật toán khơng đối xứng THAM SỐ THUẬT TỐN Hạn định tham số thuật toán định danh tham số thuật toán cách công khai xác minh chữ ký Giá trị tham số thuật tốn Khóa chung BÊN THI HÀNH THAM SỐ THUẬT TOÁN Hạn định tham số thuật toán định danh tham số thuật toán hàm mũ công bố cho việc xác minh chữ ký Giá trị tham số thuật tốn Mơđun BÊN CHỨNG NHẬN THAM SỐ THUẬT TOÁN Hạn định tham số thuật toán Xác định tham số thuật toán độ dài mơ đul BÊN CHỨNG NHẬN (theo bít) Các mơđun BÊN CHỨNG NHẬN dài 512 bít Giá trị tham số thuật toán KẾT QUẢ AN NINH Chữ ký số chứng KẾT QUẢ HỢP LỆ Hạn định giá trị hợp lệ Giá trị hợp lệ Giá trị hợp lệ Chữ ký số 512 bít CHỨNG CHỈ Chứng Ngân hàng A (Bên tiếp nhận thơng điệp) THAM CHIẾU CHỨNG CHỈ Khóa cơng bố Ngân hàng A sử dụng liên quan với chứng tham chiếu 00001001 ĐUÔI AN NINH SỐ HIỆU THAM CHIẾU AN NINH Số tham chiếu đuôi an ninh SỐ LƯỢNG ĐOẠN AN NINH 10 KẾT QUẢ AN NINH Chữ ký số thông điệp KẾT QUẢ HỢP LỆ Hạn định giá trị hợp lệ Giá trị hợp lệ Giá trị hợp lệ Chữ ký số 512 bít Phụ lục D (tham khảo) Các hàm lọc kho ký tự A C UN/EDIFACT D.1 Bộ lọc EDA D.1.1 Cơ sở Việc lọc thập lục phân tăng gấp đôi số ký tự yêu cầu để biểu diễn liệu nhị phân Đây lãng phí khơng gian Các hàm lọc tiêu chuẩn hóa tồn khác khơng thích hợp kho ký tự A B UN/EDIFACT (ISO/IEC 646) chúng ánh xạ tới hầu hết ký tự đầy đủ xuất ISO (94 ký tự 96 ký tự xuất bản), chúng thực không hiệu không gian so với lọc thập lục phân (bộ lọc Baudot) Do nên xác định hàm lọc đủ đơn giản ánh xạ tới (một tập của) kho ký tự mức A UN/EDIFACT, hiệu lọc thập lục phân D.1.2 Kho ký tự UN/EDIFACT Kho ký tự A có 44 ký tự, việc sử dụng khơng hạn chế Trường hợp bổ sung thêm vào 44 ký tự đó, phần ký tự gồm bốn ký tự dịch vụ tám ký tự không cho phép truyền TELEX Tất ký tự phần kho ký tự B UN/EDIFACT, ký tự không dùng việc truyền TELEX, gồm 82 ký tự thường ba ký tự dịch vụ không - thể xuất D.1.3 Lọc hai thành ba Để biểu diễn hai ký tự nhị phân ba ký tự lọc, yêu cầu tối thiểu 41 ký tự ký tự này: 41 ** = 68 921 > 65 536 > 64 000 = 40 ** D.1.4 Đặc tả lọc EDA Có 44 ký tự cho phép, tránh sử dụng phần ký tự trống 44 ký tự lọc cặp ký tự đầu vào (nếu lẻ, lọc ký tự cuối hai lần kết quả) bằng: - việc tính tốn giá trị nhị phân số ngun không dấu tạo cặp ký tự (giá trị phụ thuộc khách quan vào chất LITTLE_ENDIAN /BIG_ENDIAN (Byte có nghĩa nghĩa nhất) máy tính sử dụng Tiêu chuẩn hóa cho BIG_ENDIAN: byte có nghĩa nhất; - biểu diễn giá trị dãy ba số (hai cho byte lẻ cuối cùng), khoảng từ đến 42 theo: - kết phép chia cho 1849 (43 bình phương) (bỏ qua byte lẻ cuối cùng); - giá trị dư 1849 chia cho 43; - giá trị dư 43; - ánh xạ số bảng chữ mức A UN/EDIFACT bảng tương ứng: tới biểu diễn tới A tới Z biểu diễn 10 tới 35 (), - /= biểu diễn 36 tới 42 theo thứ tự D.1.5 Giải lọc Để giải lọc: ánh xạ ký tự 43 ký tự trở lại giá trị 42, cịn lại ba ký tự lọc, tính tốn: cl * 1849 + c2 *43 + c3 = số ngun ngắn; cịn hai ký tự tính: c1 * 43 + c2 = giá trị ký tự Lưu ý: a) số nguyên ngắn nên < 65 536; b) giá trị ký tự nên < 256; c) máy tính LITTLE_ENDIAN, chuyển hai ký tự giá trị số nguyên ngắn D.2 Bộ lọc EDC D.2.1 Cơ sở Bộ lọc EDA xây dựng phép lọc sang kho mức A B UN/EDIFACT Tất nhiên, kho ký tự bị giới hạn theo ký tự, mức mở rộng = 3/2 tồi, tốt nhiều so với lọc thập lục phân = 2/1 Trong kho mức C,D,E F, đạt dễ dàng mức mở rộng tốt nhiều Thực tế, kho ký tự này, liên kết cho phép gồm giá trị nhị phân từ 0/0 tới 1/15 giá trị 8/0 tới 9/15 Trong 256 giá trị nhị phân 192 ký tự cho phép Một lọc mức C, lý tưởng mức mở rộng thấp mà không yêu cầu tính tốn dài, cho phép biểu diễn 18 byte nhị phân thành 19 byte lọc, không từ 19 byte sang 20 byte lọc, vì: 192**19 > 256**18, 192**20 < 256**19 Mức mở rộng thực tế 8/7 hạn chế phép biến đổi thao tác bít D.2.2 Phép biến đổi lọc Để biến đổi chuỗi byte nhị phân sang kho ký tự mức C: - chia nhỏ chuỗi thành chuỗi bẩy - byte (chuỗi cuối có nhiều bẩy byte); - thêm vào trước chuỗi byte điều khiển với giá trị bắt đầu 64 (bít = 1), - đặt bít byte điều khiển, có vị trí đến phụ thuộc vào phép biến đổi lọc áp dụng cho byte liệu tương ứng chuỗi không; - Kiểm tra byte liệu chuỗi phép biến đổi áp dụng bởi; - (byte liệu.and.64 = = 0) khơng? - Nếu đúng, đặt bít byte liệu bít vị trí byte điều khiển; - khơng, giữ nguyên không thay đổi byte liệu byte điều khiển; - Tất giá trị lọc bắt buộc có bít byte = 1; - Các ký tự dịch vụ mặc định bị loại khỏi kho ký tự lọc đích D.2.3 Phép biến đổi giải lọc Để biến đổi trở lại chuỗi lọc thành chuỗi nhị phân: - phân chia chuỗi thành chuỗi tám - byte (chuỗi cuối có nhiều tám byte); - coi byte bắt đầu chuỗi byte điều khiển, byte khác byte liệu; - kiểm tra vị trí bít đến byte điều khiển; - vị trí byte chuỗi tương ứng với thứ tự tới 7, - bít = 0, giữ nguyên byte liệu vị trí tương ứng; - bít = 1, đặt bít byte liệu tương ứng Phụ lục E (tham khảo) Thuật toán dịch vụ an ninh E.1 Phạm vi mục đích Phụ lục đưa ví dụ khả liên kết phần tử liệu giá trị mã từ nhóm đoạn an ninh Các ví dụ chọn nhằm minh họa số kỹ thuật an ninh sử dụng rộng rãi dựa Tiêu chuẩn Quốc tế Để trình bày tất khả liên kết nhiều phụ lục lựa chọn xem xác định thuật toán phương thức hoạt động Bên sử dụng chọn kỹ thuật thích hợp để bảo vệ chống lại mối đe dọa an ninh Mục đích phụ lục cung cấp cho bên sử dụng kỹ thuật an ninh chọn, với điểm khởi đầu tồn diện để tìm giải pháp phù hợp cho ứng dụng riêng bên sử dụng Để cho dễ đọc dễ hiểu, vấn đề chia thành hai phần, phần tập trung vào nguyên tắc khác việc áp dụng an ninh Hai phần là: liên kết sử dụng thuật toán đối xứng đoạn an ninh thích hợp; liên kết sử dụng thuật tốn khơng đối xứng đoạn an ninh thích hợp Danh sách mã sử dụng ma trận (một phần danh sách mã đầy đủ) 0501 Dịch vụ an ninh, mã hóa Khơng từ chối gốc Xác thực nguồn gốc thơng điệp Tính tồn vẹn 0523 Thuật tốn sử dụng, mã hóa Hàm băm bên sở hữu Hàm đối xứng Bên sở hữu Ký hiệu Bên phát hành(CA) 0505 0525 16 Chức lọc, mã hóa Bộ lọc EDC Mật mã hóa phương thức hoạt động, mã hóa DSMR (Chữ ký Số với khơi phục lại Thông điệp) Hàm băm Bên phát hành (CA) Ký hiệu bên sở hữu 0527 Thuật toán, mã hóa 0531 Hạn định tham số thuật tốn DES (Tiêu chuẩn mật mã hóa Dữ liệu) Mã hóa khóa đối xứng SHA (Thuật tốn Băm An ninh) Tên khóa đối xứng 10 RSA (Rivest, Shamir, Adleman) 10 Tên khóa mã hóa khóa 11 DSA (Thuật tốn ký Số) 12 Mơđun 16 SHA1 (Thuật tốn Băm An ninh) 13 Hàm mũ 37 MAC (Mã Xác thực Thông điệp) 14 Độ dài mơđun 38 DIM1 (Cơ chế Tồn vẹn Dữ liệu) 25 Tham số P DSA 40 MDC2 (Mã phát Sự thay đổi) 26 Tham số Q DSA 42 HDS (Hàm băm) 27 Tham số G DSA 28 Tham số Y DSA 0563 Hạn định giá trị hợp lệ 0577 Hạn định bên tham gia an ninh Giá trị hợp lệ Bên gửi thông điệp Tham số r thuật tốn DSA Bên tiếp nhận thơng điệp Tham số s thuật toán DSA Chủ sở hữu chứng Bên xác thực Các chữ viết tắt sử dụng a, b, c, e = Biểu diễn số hiệu tham chiếu an ninh CA = Tổ chức chứng nhận Enc-key = Khóa mã hóa G = Tham số khóa cơng bố G DSA Hash = Giá trị băm KEK-N = Tên khóa mã hóa khóa Key-N = Tên khóa KN = Tên khóa MAC = Mã xác thực thơng điệp Mod = Môđun Mod-L = Độ dài môđun P = Tham số khóa cơng bố P DSA PK/CA = Khóa cơng bố bên chứng nhận Pub-K = Khóa cơng bố Q = Tham số khóa cơng bố Q DSA R = Kết tham số r chữ ký DAS S = Kết tham số s chữ ký DAS Sig = Chữ ký Y = Tham số khóa cơng bố Y DSA E.2 Liên kết sử dụng thuật toán đối xứng đoạn an ninh tích hợp Ma trận Bảng E.1 thiết lập mối quan hệ trường hợp sau: - an ninh mức trao đổi /gói/nhóm/trao đổi (TCVN ISO 9735 - 5):2004; - sử dụng thuật toán đối xứng nhất; - dịch vụ an ninh cung cấp xác thực nguồn gốc thơng điệp tồn vẹn nội dung - Xác thực nguồn gốc thông điệp cung cấp cách gắn thêm MAC (Mã Xác thực Thơng điệp) vào thơng điệp Hai ví dụ đưa ra, với ví dụ DES chế độ CBC với khóa bí mật mà Bên tiếp nhận thông điệp biết định tên khóa Ví dụ thứ theo ISO 8731-1 Ví dụ thứ hai dựa việc sử dụng thuật toán DES phù hợp với phương thức hoạt động trình bày ISO/IEC 9797 Khóa bí mật cần mã hóa DES để truyền khóa mã hóa - khóa dùng chung cho Bên gửi Bên tiếp nhận Khóa mã hóa khóa định tên - Tồn vẹn nội dung cung cấp hàm băm dựa thuật toán DES chế độ MDC, phù hợp với ISO 10118-2 Trong ví dụ thứ ba này, khơng có khóa bí mật dùng chung cho B Bên tiếp nhận Giá trị băm truyền không bảo vệ, dịch vụ an ninh khơng có khả đảm bảo an tồn cho thông điệp - Mặc dù Bên gửi Bên tiếp nhận dùng chung khóa, chế mã hóa khơng thỏa thuận hồn tồn trước Do tất thuật toán phương thức hoạt động sử dụng đặt tên rõ ràng - Chỉ trình bày trường an ninh liên quan tới kỹ thuật an ninh, thuật toán phương thức hoạt động sử dụng thực tế Bảng E.1 - Ma trận tương quan sử dụng thuật toán đối xứng Thẻ Tên S R SG1 C 99 USH TIÊU ĐỀ AN NINH M Xác thực Xác thực Toàn vẹn nguồn nguồn gốc nội dung Chú gốc thông thông điệp ISO/IEC thích điệp ISO ISO 9797 10118-2 8731-1 Một cho dịch vụ an ninh 0501 DỊCH VỤ AN NINH, ĐÃ MÃ HÓA M 2 0534 SỐ HIỆU THAM CHIẾU AN NINH M a b c C 6 C 0505 HÀM LỌC, ĐÃ MÃ HÓA S500 CHI TIẾT ĐỊNH DANH AN NINH 0577 Hạn định bên tham gia an ninh M 1 0538 Tên khóa C Key - N — — 2 S500 CHI TIẾT ĐỊNH DANH AN NINH 0577 Hạn định bên tham gia an ninh C M USA THUẬT TOÁN AN NINH C S502 THUẬT TOÁN AN NINH M 0523 Sử dụng thuật tốn, mã hóa M 2 C — — — 0527 Thuật toán, mã hóa C 37 38 40 S503 THAM SỐ THUẬT TỐN C 0531 Hạn định tham số thuật tốn M — 10 — 0554 Giá trị tham số thuật toán M — KEK - N — S503 THAM SỐ THUẬT TỐN C 0531 Hạn định tham số thuật tốn M — — 0554 Giá trị tham số thuật toán M — Enc - Key — 0525 Mật mã hóa phương thức hoạt động, mã hóa Một cho tên khóa mã hóa khóa Một cho khóa mã hóa Cấu trúc liệu bảo vệ (các đoạn/đối tượng (các)trao đổi/(các)gói/(các) nhóm bên sử dụng) SGn C 99 UST ĐUÔI AN NINH M M 0588 SỐ LƯỢNG ĐOẠN AN NINH M USR KẾT QUẢ AN NINH C S508 KẾT QUẢ HỢP LỆ M 0563 Hạn định giá trị hợp lệ M 1 0560 Giá trị hợp lệ C MAC MAC Hash 0534 SỐ HIỆU THAM CHIẾU AN NINH Một cho dịch vụ an ninh A b c CHÚ THÍCH Cả hai cấu trúc phải có số lần xuất nhau; Bên gửi thơng điệp; Tên khóa bí mật dùng chung cho bên gửi bên tiếp nhận; Bên tiếp nhận thơng điệp; Khóa mã hóa khóa dùng chung cho bên gửi bên tiếp nhận đề cập đến tên khóa mã hóa khóa; Khóa bí mật mã hóa theo với khóa mã hóa khóa; Một số thuật tốn ký (như DSA) u cầu hai kết tham số; Các giá trị kết “tồn vẹn” khơng bảo vệ phải tách biệt E.3 Liên kết sử dụng khóa khơng đối xứng đoạn an ninh thích hợp Ma trận Bảng E.2 thiết lập mối quan hệ trường hợp sau: - an ninh mức thơng điệp/gói trao đổi tích hợp (TCVN ISO 9735- 5:2004); - dịch vụ an ninh cung cấp khơng- từ chối gốc, có hai phương pháp với kỹ thuật tính tốn chữ ký khác nhau; - có hai thuật tốn khơng đối xứng: RSA DSA; - hai hàm - băm chọn: DES chế độ MDC với RSA, SHA-1 với DSA; - chứng thừa nhận không trao đổi trước; - đoạn USC định danh xác hàm băm hàm ký tổ chức chứng nhận sử dụng để ký chứng Bên tiếp nhận biết khóa cơng bố cần cho việc kiểm tra chữ ký chứng nhận tổ chức chứng nhân Khóa cơng bố định tên đoạn USC; - bao gồm chứng chỉ, cần thứ hai, sử dụng khóa cơng bố bên tiếp nhận Bảng E.2 - Ma trận tương quan sử dụng thuật tốn khơng đối xứng Thẻ Khơng từ chối Khơng từ chối Chú gốc (RSA) gốc (DSA) thích S R SG1 C 99 USH TIÊU ĐỀ AN NINH M 0501 DỊCH VỤ AN NINH, ĐÃ MÃ HÓA M 1 0534 SỐ HIỆU THAM CHIẾU AN NINH M d e 0505 HÀM LỌC, ĐÃ MÃ HÓA C 6 S500 CHI TIẾT ĐỊNH DANH AN NINH C 0577 Hạn định bên tham gia an ninh M 1 S500 CHI TIẾT ĐỊNH DANH AN NINH C 0r577 Hạn định bên tham gia an ninh M 2 USA THUẬT TOÁN AN NINH C S502 THUẬT TOÁN AN NINH M 0523 Sử dụng thuật tốn, mã hóa M 1 C — — 0527 Thuật tốn, mã hóa C 42 16 SG2 C USC M 0536 THAM CHIẾU CHỨNG CHỈ C Tham chiếu chứng C (Bên sở hữu chứng chỉ) 0525 S500 Tên Mật mã hóa phương thức hoạt động, mã hóa CÁC CHI TIẾT ĐỊNH DANH AN NINH Một cho dịch vụ an ninh 2 Chỉ một: chứng Bên gửi 0577 Hạn định bên tham gia an ninh M S500 CHI TIẾT XÁC MINH AN NINH C 0577 Hạn định bên tham gia an ninh M 4 0538 Tên khóa C Tên (PK/CA) Tên (PK/CA) USA THUẬT TOÁN AN NINH C S502 THUẬT TOÁN AN NINH M 0523 Sử dụng thuật toán, mã hóa M 6 0525 Sử dụng thuật tốn, mã hóa C 16 — 0527 THUẬT TỐN, MÃ HĨA C 10 11 S503 THAM SỐ THUẬT TỐN C (độ dài mô Tham số P (bên xác thực) Chức chữ ký Bên gửi đun) SA 0531 Hạn định tham số thuật toán M 14 25 0554 Giá trị tham số thuật toán M Mod - L P S503 THAM SỐ THUẬT TỐN C (mơ đun) Tham số Q SA 0531 Hạn định tham số thuật toán M 12 26 0554 Giá trị tham số thuật toán M Mod Q S503 THAM SỐ THUẬT TOÁN C 0531 Hạn định tham số thuật toán M 13 27 0554 Giá trị tham số thuật toán M Pub - K G S503 THAM SỐ THUẬT TOÁN C — Tham số Y SA 0531 Hạn định tham số thuật toán M — 28 0554 Giá trị tham số thuật toán M — Y USA THUẬT TOÁN AN NINH C S502 THUẬT TOÁN AN NINH M 0523 Sử dụng thuật toán, mã hóa M 4 0525 Sử dụng thuật tốn, mã hóa C 11 — 0527 Thuật tốn, mã hóa C USA THUẬT TỐN AN NINH C S502 THUẬT TOÁN AN NINH M 0523 Sử dụng thuật tốn, mã hóa M 3 0525 Sử dụng thuật tốn, mã hóa C 16 — 0527 Thuật tốn, mã hóa C 10 11 USR KẾT QUẢ AN NINH C S508 KẾT QUẢ HỢP LỆ M 0563 Hạn định giá trị hợp lệ M 0560 Giá trị hợp lệ C Sig R S508 KẾT QUẢ HỢP LỆ M 0563 Hạn định giá trị hợp lệ M — 0560 Giá trị hợp lệ C — S 9 (Hàm mũ công Tham số G bố) SA (hàm băm CA cho chữ ký chứng chỉ) (Chức ký CA cho chữ ký chứng chỉ) 10 11 11 Cấu trúc liệu bảo vệ (các đoạn/đối tượng/(các)trao đổi/(các)gói (các) nhóm bên sử dụng) SGn C 99 UST ĐUÔI AN NINH M 0534 SỐ HIỆU THAM CHIẾU AN NINH M 0588 SỐ LƯỢNG ĐOẠN AN NINH M Một cho dịch vụ an ninh d e USR KẾT QUẢ AN NINH C S508 KẾT QUẢ HỢP LỆ M 0563 Hạn định giá trị hợp lệ M 0560 Giá trị hợp lệ C Sig R S508 KẾT QUẢ HỢP LỆ M 0563 Hạn định giá trị hợp lệ M — 0560 Giá trị hợp lệ C — S 11 11 CHÚ THÍCH Cả hai cấu trúc phải có số lần xuất hiện; Thừa nhận không - từ chối gốc bao Chức xác thực nguồn gốc thơng điệp tồn vẹn; Bên gửi thông điệp; Bên tiếp nhận thông điệp; Bên gửi áp dụng hàm băm cấu trúc an ninh; Bên sở hữu chứng chỉ: chi tiết định danh giống USH S500 cho Bên gửi thông điệp; Bên xác thực: tổ chức chứng nhận (CA); Chức chữ ký Bên gửi; Hàm băm CA; 10 Chức chữ ký CA; 11 Một số thuật toán ký (như DSA) yêu cầu hai kết tham số Tài liệu tham khảo ISO/IEC 646:1991, Information technology - ISO - bít coded character set for information interchange (Công nghệ thông tin - Bộ ký tự mã hóa bít ISO cho trao đổi thông tin); ISO 8601:2000, Data elements and interchange formats - Information interchange Representation of dates and times (Phần tử liệu định dạng trao đổi - Trao đổi thông tin - Biểu diễn ngày giờ); ISO 8731-1:1987, Banking - Approved algorithms for message authentication - Part 1: DEA (Nghiệp vụ quản lý - Thuật tốn dành cho xác thực thơng điệp - Phần 1: DEA); ISO/IEC 9797:1994, Information technology - Security techniques - Data integrity mechanism using a cryptographic check function employing a block cipher algorithm (Công nghệ thông tin - Kỹ thuật an ninh - Cơ chế toàn vẹn liệu sử dụng Chức kiểm tra mã hóa với thuật toán mã khối) ISO/IEC 10116:1997 Information technology - Security techniques - Modes of operation for an n - bít block cipher (Cơng nghệ thơng tin - Kỹ thuật an ninh - Chế độ thao tác mã khối n - bít); ISO/IEC 10118-2:2000, Information technology - Security techniques - Hash-functions Part 2: Hash - functions using an n - bít block cipher (Cơng nghệ thơng tin - Kỹ thuật an ninh Hàm băm - Phần 2: Hàm băm sử dụng mã khối n - bít); ISO/IEC 10181-1:1996, Information technology - Open Systems Interconnection - Security frameworks for open systems: Overview (Công nghệ thông tin - Liên kết hệ thống mở - Cơ cấu an ninh hệ thống mở: Khái quát); ISO/IEC 10646-1:2000, Information technology - Universal Multiple - Octet Coded Character Set (UCS) - Part 1: Architecture and Basic Multilingual Plane (Công nghệ thông tin - Bộ ký tự mã hóa bội tám chung (UCS) - Phần 1: Mức đa ngữ kiến trúc); ISO/IEC 11770-1:1996, Information technology - Security techniques - Key management Part 1: Framework (Công nghệ thông tin - Kỹ thuật an ninh - Quản lý khóa - Phần 1: Cơ cấu) MỤC LỤC Lời giới thiệu Phạm vi áp dụng Sự phù hợp Tiêu chuẩn viện dẫn Thuật ngữ định nghĩa Quy tắc sử dụng nhóm đoạn tiêu đề an ninh cho EDI lô 5.1 An ninh mức thông điệp/gói - an ninh thơng điệp/gói tích hợp 5.1.1 Khái qt 5.1.2 Các nhóm đoạn tiêu đề an ninh 5.1.3 Cấu trúc nhóm đoạn tiêu đề an ninh 5.1.4 Giải thích đoạn liệu 5.1.5 Phạm vi áp dụng an ninh 5.2 Nguyên tắc sử dụng 5.2.1 Lựa chọn dịch vụ 5.2.2 Tính xác thực 5.2.3 Tính tồn vẹn 5.2.4 Khơng từ chối gốc 5.3 Các lọc biểu diễn nội theo cú pháp EDIFACT Quy tắc sử dụng nhóm đoạn tiêu đề an ninh nhóm trao đổi cho EDI lơ 6.1 An ninh mức nhóm mức trao đổi - an ninh thơng điệp tích hợp 6.2 Nhóm đoạn tiêu đề an ninh 6.3 Cấu trúc nhóm đoạn tiêu đề an ninh 6.4 Phạm vi áp dụng an ninh Phụ lục A (tham khảo) Các mối đe dọa giải pháp cho an ninh EDIFACT A.1 Giới thiệu A.2 Các mối đe dọa an ninh A.3 Các giải pháp an ninh - Các dịch vụ nguyên tắc sử dụng A.3.1 Khái quát A.3.2 Toàn vẹn thứ tự A.3.3 Toàn vẹn nội dung A.3.4 Xác thực gốc A.3.5 Không - từ chối gốc A.3.6 Không - từ chối nhận bên tiếp nhận A.3.7 Độ tin cậy nội dung A.3.8 Mối quan hệ dịch vụ an ninh Phụ lục B (tham khảo) Cách bảo vệ cấu trúc EDIFACT B.1 Khái quát B.2 Thỏa thuận song phương/bên thứ ba B.3 Khía cạnh thực tế B.4 Thủ tục xây dựng cấu trúc EDIFACT an ninh B.5 Thứ tự dịch vụ an ninh áp dụng B.6 An ninh thông điệp phân tách mức thông điệp/gói B.6.1 Các yêu cầu nghiệp vụ B.6.2 An ninh thông điệp phân tách sử dụng bên gửi B.6.3 An ninh thông điệp phân tách sử dụng bên tiếp nhận B.7 An ninh thông điệp phân tách mức nhóm mức trao đổi Phụ lục C (tham khảo) Các ví dụ bảo vệ thơng điệp C.1 Giới thiệu C.2 Ví dụ 1: xác thực nguồn gốc thơng điệp C.2.1 Tình C.2.2 Chi tiết an ninh C.3 Ví dụ 2: Khơng - từ chối gốc, kỹ thuật thứ C.3.1 Tình C.4 Ví dụ 3: không từ chối gốc, kỹ thuật thứ hai C.4.1 Tình C.4.2 Chi tiết an ninh Phụ lục D (tham khảo) Các hàm lọc kho ký tự A C UN/EDIFACT D.1 Bộ lọc EDA D.1.1 Cơ sở D.1.2 Kho ký tự UN/EDIFACT D.1.3 Lọc hai thành ba D.1.5 Giải lọc D.2 Bộ lọc EDC D.2.1 Cơ sở D.2.3 Phép biến đổi giải lọc Phụ lục E (tham khảo) Thuật toán dịch vụ an ninh E.1 Phạm vi mục đích E.2 Liên kết sử dụng thuật toán đối xứng đoạn an ninh tích hợp E.3 Liên kết sử dụng khóa khơng đối xứng đoạn an ninh thích hợp Tài liệu tham khảo ... TCVN ISO 973 5-1 , TCVN ISO 973 5-2 TCVN ISO 973 5-1 0 Khi nêu tiêu chuẩn này, điều khoản định nghĩa tiêu chuẩn liên quan phải chuẩn mực phù hợp Tiêu chuẩn viện dẫn - TCVN ISO 973 5- 1:2003, Trao đổi... tiêu chuẩn Các thiết bị hỗ trợ tiêu chuẩn phù hợp chúng tạo và/hoặc thơng dịch liệu cấu trúc biểu diễn phù hợp với tiêu chuẩn Sự phù hợp với tiêu chuẩn phải bao gồm phù hợp với TCVN ISO 973 5-1 ,... thơng tin - Kỹ thuật an ninh - Chế độ thao tác mã khối n - bít); ISO/ IEC 1011 8-2 :2000, Information technology - Security techniques - Hash-functions Part 2: Hash - functions using an n - bít block