ГОСТ Р ИСО 9735-9-2016
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЭЛЕКТРОННЫЙ ОБМЕН ДАННЫМИ В УПРАВЛЕНИИ, ТОРГОВЛЕ И НА ТРАНСПОРТЕ (EDIFACT)
Синтаксические правила для прикладного уровня (версия 4, редакция 1)
Часть 9
Сообщение системы управления ключами защиты и сертификатами (тип сообщения - KEYMAN)
Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4, Syntax release number 1). Part 9. Security key and certificate management message (message type - KEYMAN)
ОКС 35.240.60
Дата введения 2017-09-01
Предисловие
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Институт безопасности труда" (АНО "ИБТ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 55 "Терминология, элементы данных и документация в бизнес-процессах и электронной торговле"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ
4 Настоящий стандарт идентичен стандарту ИСО 9735-9:2002* "Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4, редакция 1). Часть 9. Сообщение системы управления ключами защиты и сертификатами (тип сообщения - KEYMAN)" [ISO 9735-9:2002 "Electronic data interchange for administration, commerce and transport (EDIFACT) - Application level syntax rules (Syntax version number: 4, Syntax release number: 1) - Part 9: Security key and certificate management message (message type - KEYMAN)", IDT]
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов национальные стандарты, сведения о которых приведены в дополнительном
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.
Правила применения настоящего стандарта установлены в Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящий стандарт включает в себя правила прикладного уровня для структурирования данных в рамках обмена электронными сообщениями в открытой среде с учетом требований пакетной обработки. Эти правила утверждены Европейской экономической комиссией ООН (UN/ECE) в качестве синтаксических правил организации электронного обмена данными (Electronic Data Interchange, EDI) в управлении, торговле и на транспорте (EDIFACT) и являются частью Каталога ООН по информационному обмену в сфере торговли (UNTDID), который содержит также рекомендации по разработке сообщений пакетного и интерактивного обмена.
Спецификации и протоколы обмена сообщениями в рамках настоящего стандарта не рассматриваются.
Настоящий стандарт - это новая часть, добавленная в ИСО 9735. Она создает дополнительную возможность управления секретными ключами и сертификатами.
1 Область применения
Настоящим стандартом, который касается обеспечения безопасности пакетного обмена EDIFACT, определяется системное сообщение типа KEYMAN для управления ключами защиты и сертификатами.
2 Нормативные ссылки
Приведенные ниже нормативные документы* содержат положения, на которые даются ссылки в настоящем тексте и которые, следовательно, становятся положениями настоящего стандарта. Для датированных ссылок применимо только указываемое издание: никакие его последующие изменения или редакции не применимы. Однако участникам договоров, в которых использован настоящий стандарт, рекомендуется изучить возможность применения самых последних изданий ссылочных документов, указанных ниже. Применительно к недатированным ссылочным документам (с плавающими ссылками) действующим остается самое последнее издание нормативного документа. Членами ИСО и МЭК ведутся реестры действующих международных стандартов.
ISO 9735-1:2002, Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4, Syntax release number 1). Part 1. Syntax rules common to all parts [Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4, редакция 1). Часть 1. Синтаксические правила, общие для всех частей]
ISO 9735-2:2002, Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4, Syntax release number 1). Part 2. Syntax rules specific to batch EDI [Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4, редакция 1). Часть 2. Специфика синтаксических правил для пакетного EDI]
ISO 9735-5:2002, Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4, Syntax release number 1). Part 5. Security rules for batch EDI (authenticity, integrity and non-repudiation of origin) [Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4, редакция 1). Часть 5. Правила безопасности для пакетного EDI (подлинность, целостность и невозможность отказа отправителя от авторства сообщения]
________________
3 Термины и определения
В настоящем стандарте применены термины и определения, приведенные в ИСО 9735-1.
4 Соответствие настоящему стандарту
Для соответствия обмена требованиям настоящего стандарта в его обязательном элементе 0002 (номер версии синтаксических правил) следует использовать номер версии "4", а в условно-обязательном элементе данных 0076 (номер редакции синтаксических правил) - номер редакции "01", причем каждый из этих номеров появляется в сегменте UNB (заголовок обмена); однако в обменах, где продолжает использоваться синтаксис, определенный в более ранних версиях, для различения соответствующих синтаксических правил друг от друга и от правил, определенных в настоящем стандарте, должны использовать следующие номера версий:
- ИСО 9735:1988 - номер версии синтаксических правил: 1;
- ИСО 9735:1988 (перепечатанный с изменениями в 1990 г.) - номер версии синтаксических правил: 2;
- ИСО 9735:1988 и его Изменение 1:1992 - номер версии синтаксических правил: 3;
- ИСО 9735:1998 - номер версии синтаксических правил: 4.
Соответствие стандарту означает, что соблюдены все его требования, включая все возможные опции. Если поддерживаются не все опции, то в любом заявлении о соответствии должно содержаться положение, идентифицирующее опции, по которым декларируется соответствие.
Данные, используемые в обмене, признаются соответствующими, если их структура и представление отвечают синтаксическим правилам, определенным в настоящем стандарте.
Устройства, поддерживающие настоящий стандарт, признаются соответствующими ему, если эти устройства способны формировать и/или интерпретировать данные, структурированные и представленные в соответствии с требованиями настоящего стандарта.
Соответствие требованиям настоящего стандарта предполагает обязательное соответствие частям 1, 2, 5 и 10 ИСО 9735.
Положения смежных стандартов, на которые делается ссылка в настоящем стандарте, являются составными элементами критериев соответствия.
5 Правила использования ключа защиты и сообщения для управления сертификатами
5.1 Функциональное назначение
Сообщение типа KEYMAN обеспечивает возможность управления ключом защиты и сертификатом. Ключ защиты может быть секретным, использующим симметричные алгоритмы, или открытым либо закрытым, основанным на использовании асимметричных алгоритмов.
5.2 Сфера применения
Сообщение для управления ключами защиты и сертификатами (KEYMAN) может быть использовано в рамках как национальной, так и международной торговли. Структура этого управляющего сообщения определена сложившейся практикой административных, торговых и транспортных операций и не зависит от типа хозяйственной деятельности или отрасли промышленности.
5.3 Принципы использования управляющего сообщения
Управляющее сообщение может быть использовано для запроса или предоставления ключей защиты, сертификатов или маршрутов сертификации (в том числе для запрашивания различных операций управления ключами и сертификатами - например, операций обновления, замены или аннулирования сертификатов, а также предоставления дополнительной информации - к примеру, о статусе сертификата); это сообщение может быть использовано и для представления перечней сертификатов (например, с целью указания тех из них, которые признаны недействительными). Сообщение типа KEYMAN может быть защищено посредством использования групп сегментов заголовка и концевика защиты. Структурные схемы таких групп сегментов определены в ИСО 9735-5.
Сообщение для управления ключами защиты и сертификатами может быть использовано для следующих целей:
a) запрашивания операций, связанных с обработкой ключей и сертификатов;
b) предоставления ключей, сертификатов и относящейся к ним информации.
5.4 Определение сообщения
5.4.1 Детализация сегмента данных
|
|
|
|
0010 | Сегмент UNH - заголовок сообщения
Служебный сегмент в начале сообщения, однозначно идентифицирующий его.
Код типа сообщения для управления закрытыми ключами и сертификатами - KEYMAN.
Для того чтобы соответствовать настоящему стандарту, сообщения для управления закрытыми ключами и сертификатами должны содержать следующие данные в сегменте UNH составного сообщения S009: | ||
| элемент данных | 0065 | KEYMAN |
|
| 0052 | 4 |
|
| 0054 | 1 |
|
| 0051 | UN |
0020 | Группа сегментов 1 - USE-USX- SG2
Группа сегментов, которая содержит всю информацию, необходимую для пересылки или выполнения запросов ключа, сертификата, маршрута сертификации и уведомлений. | ||
0030 | Сегмент USE - связь по сообщениям защиты
Сегмент, идентифицирующий связь с предыдущим сообщением: например, с запросным сообщением типа KEYMAN. | ||
0040 | Сегмент USX - ссылка, указывающая службу защиты
Сегмент, идентифицирующий ссылку на предшествующее сообщение: например, на запрос. Составной элемент данных "дата и время защиты" может содержать исходную дату и время генерации запрашиваемого сообщения. | ||
0050 | Группа сегментов 2 - USF-USA-SG3
Группа сегментов, содержащая единственный ключ и единственный сертификат или группу сертификатов, образующую маршрут сертификации. | ||
0060 | Сегмент USF - функция управления ключами
Сегмент, идентифицирующий функцию переключаемой им группы: запрос или представление. В случае использования этого сегмента для показа элементов маршрутов сертификации порядковый номер должен указывать положение очередного сертификата в маршруте. Этот сегмент может использоваться и сам по себе для извлечения списковой информации, даже при отсутствии сертификата. В рамках одного и того же сообщения могут существовать несколько различных сегментов USF, когда производится обработка двух и более ключей и сертификатов. Однако при этом недопустимо одновременное присутствие функции запроса и функции доставки. В сегменте USF может быть также определена функция фильтра, применяемая к двоичным полям сегмента USA, который следует непосредственно за сегментом USF. | ||
0070 | Сегмент USA - алгоритм защиты
Сегмент, идентифицирующий алгоритм шифрования и механизм его реализации и содержащий необходимые для этого технические параметры (определенные в ИСО 9735-5). Этот сегмент должен фигурировать в запросах на генерирование, прекращение действия или отправку симметричных ключей. Он может также использоваться для запроса пары асимметричных ключей. | ||
0080 | Группа сегментов 3 - USC-USA-USR
Группа сегментов, содержащая все данные, которые необходимы для контроля подлинности методов защиты сообщений/пакетов в случае применения асимметричных алгоритмов (как это определено в ИСО 9735-5). Данная группа должна использоваться при запросе или отправке ключей и сертификатов.
Для однозначной идентификации пары используемых асимметричных ключей необходимо присутствие в сегменте USC либо полной группы сегментов сертификата (включая сегмент USR), либо только элементов данных. Присутствия полного сертификата можно избежать, если обмен сертификатами между двумя сторонами уже состоялся или если сертификат может быть извлечен из базы данных.
В случаях принятия решения использовать сертификат, не относящийся к типу EDIFACT (например, Х.509), синтаксис и версия такого сертификата подлежат идентификации в элементе данных 0545 сегмента USC. Подобные сертификаты могут пересылаться в составе пакета EDIFACT. | ||
0090 | Сегмент сертификата USC
Сегмент, который содержит мандат владельца сертификата и идентифицирует сертификационный орган (центр сертификации), выпустивший данный сертификат (как определено в ИСО 9735-5). Этот сегмент подлежит использованию в запросах, касающихся сертификатов (например, для их обновления) или асимметричных ключей, как в случае прекращения действия или при пересылке сертификата. | ||
0100 | Сегмент USA - алгоритм защиты
Сегмент, идентифицирующий алгоритм обеспечения безопасности и его техническую реализацию и содержащий необходимые для этого технические параметры защиты (определенные в ИСО 9735-5). Данный сегмент должен использоваться при запросе сертификата (например, для регистрации мандата владельца) и в случаях представления сертификата. | ||
0110 | Сегмент USR - результат защиты
Сегмент, содержащий результат применения функций защиты сертификата сертификационным органом (как определено в ИСО 9735-5). Этот сегмент должен использоваться для проверки подлинности сертификата или в случаях представления сертификата. | ||
0120 | Группа сегментов 4 - USL-SG5
Группа сегментов, содержащая списки сертификатов или открытых ключей. Эта группа должна использоваться для группирования сертификатов с одинаковым статусом - то есть тех, которые все еще сохраняют достоверность, и тех, которые по той или иной причине могут быть недостоверными. | ||
0130 | Сегмент USL - статус списков защиты
Сегмент, идентифицирующий достоверные, недействительные, неизвестные или аннулированные элементы. Такими элементами могут оказаться сертификаты (например, достоверные, недействительные) или открытые ключи (например, действующие или аннулированные). Если предоставление сертификатов или открытых ключей предусматривает использование двух и более списков, то в рамках одного сообщения могут присутствовать несколько разных сегментов USL. Различные списки могут определяться перечнем параметров. | ||
0140 | Группа сегментов 5 - USC-USA-USR
Группа сегментов, содержащая данные, которые необходимы для контроля подлинности методов защиты сообщений/пакетов в случае применения асимметричных алгоритмов (как определено в ИСО 9735-5). Эта группа подлежит использованию в тех случаях, когда предоставляются списки ключей или сертификатов с одинаковым статусом. | ||
0150 | Сегмент сертификата USC
Сегмент, который содержит мандат владельца сертификата и идентифицирует сертификационный орган, выдавший этот сертификат (как определено в ИСО 9735-5). Этот сегмент должен либо использоваться применительно к полному сертификату - и тогда необходимо присутствие дополнительных сегментов USA и USR, либо он может указывать ссылочный номер сертификата или имя ключа; в последнем случае сообщение должно быть подписано с использованием групп сегментов заголовка и концевика защиты. | ||
0160 | Сегмент USA - алгоритм защиты
Сегмент, идентифицирующий алгоритм обеспечения безопасности и его техническую реализацию и содержащий необходимые для этого технические параметры защиты (как определено в ИСО 9735-5). Этот сегмент подлежит использованию в том случае, если требуется указание алгоритмов защиты сертификата. | ||
0170 | Сегмент USR - результат защиты
Сегмент, содержащий результат применения функций защиты сертификата сертификационным органом (как определено в ИСО 9735-5). Этот сегмент подлежит использованию в том случае, когда требуется подпись в сертификате. | ||
0180 | Сегмент UNT - концевик сообщения
Завершающий сообщение служебный сегмент, указывающий общее число сегментов и контрольную сумму сообщения. | ||
Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.