ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ЭЛЕКТРОННЫЙ ОБМЕН ДАННЫМИ В УПРАВЛЕНИИ, ТОРГОВЛЕ И НА ТРАНСПОРТЕ (EDIFACT)

Синтаксические правила для прикладного уровня (версия 4, редакция 1)

Часть 7

Правила защиты для пакетного EDI (конфиденциальность)

(ISO 9735-7:2002, IDT)

Издание официальное

Москва

Стандартинформ

2016

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Институт безопасности труда» (АНО «ИБТ») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 55 «Терминология, элементы данных и документация в бизнес-процессах и электронной торговле»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2016 г. № 1899-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 9735-7:2002 «Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4, редакция 1). Часть 7. Правила защиты для пакетного EDI (конфиденциальность)» (ISO 9735-7:2002 («Electronic data interchange for administration, commerce and transport (EDIFACT) — Application level syntax rules (Syntax version number 4. Syntax release number 1) — Part 7: Security rules for batch EDI (confidentiality)». IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по сослюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регупированию и метрологии

II

ГОСТ Р ИСО 9735-7-2016

Зашифрованные данные должны начинаться сразу за разделителем после сегмента USD. задаю-щего длину зашифрованных данных, выраженную числом октетов. Зашифрованные данные сопровождаются сегментом USU. вновь задающим их длину, которая должна быть такой же. как и в сегменте USD.

5.1.6 Использование групп сегментов заголовка и концевика системы шифрования

данных для обеспечения конфиденциальности

Как определено стандартом ISO 9735-5. для этого необходимо включить одну группу сегментов заголовка системы безопасности, определяющую конфиденциальность, и одну группу сегментов концевика. Группа сегментов концевика системы безопасности, используемая для обеспечения конфиденциальности. должна содержать только сегмент UST.

Как только структура EDIFACT зашифрована, ей больше не должны предоставляться никакие другие услуги системы защиты.

5.2 Принципы использования

5.2.1    Множественные услуги системы безопасности

Если помимо обеспечения конфиденциальности одновременно требуется получение нескольких других услуг системы безопасности, они должны предоставляться в соответствии с правилами, установленными стандартом ISO 9735-5, до шифрования структуры EDIFACT отправляющей стороной. Принимающая сторона должна при этом выполнить соответствующие операции контроля достоверности после дешифрования структуры EDIFACT.

5.2.2    Конфиденциальность

Конфиденциальность структуры EDIFACT должна обеспечиваться согласно принципам, изложенным в стандарте ISO/IEC 10181-5.

Услуга по обеспечению конфиденциальности должна определяться в группе сегментов заголовка системы защиты, а в сегменте USA группы 1 должен быть задан соответствующий алгоритм. Этот сегмент USA может также содержать данные, необходимые для установления ключевых взаимосвязей между сторонами, выступающими в качестве инициатора и в качестве адресата защиты.

Сторона, действующая как инициатор защиты, должна зашифровать структуру EDIFACT от терминатора сегмента ее заголовка (обмена, группы, сообщения или пакета) и вплоть до первого символа концевика ее сегмента (обмена, группы, сообщения или пакета) и рассматривать результат как шифрованные данные. По получении шифрованных данных сторона, действующая как адресат защиты, должна произвести дешифрование зашифрованных данных и таким образом восстановить исходную структуру EDIFACT. исключив из нее сегменты заголовка и концевика.

5.2.3    Внутренние функции представления и фильтрации

Результатом процесса шифрования оказывается случайная битовая последовательность. Это может вызвать определенные проблемы, связанные с довольно ограниченной пропускной способностью телекоммуникационных сетей. Во избежание этих проблем зашифрованная битовая последовательность может быть отображена на конкретный набор знаков с помощью функции фильтрации.

Цель применения функции фильтрации состоит в расширении объема шифрованных данных. Используемые функции фильтрации могут иметь слегка разнящиеся коэффициенты расширения. Некоторые из них допускают присутствие в отфильтрованном тексте любого символа из целевого набора знаков. в том числе служебных — таких, как терминаторы сегментов, тогда как другие могут эти служебные символы отфильтровывать.

Объем данных, пересылаемых в элемент «длина данных в октетах» сегментов USD и USU, должен отображать длину (возможно, сжатых) зашифрованных (и. возможно, отфильтрованных) данных Это отображение должно использоваться для определения конца шифрованных данных. Используемая фильтрующая функция должна указываться в элементе 0505 (код фильтрующей функции) сегмента USH из группы сегментов заголовка системы обеспечения конфиденциальности.

5.2.4    Использование метода сжатия перед шифрованием

Поскольку стоимость вычислений, связанных с шифрованием данных, напрямую зависит от размера данных, подлежащих шифрованию, может оказаться полезным их предварительное сжатие перед шифрованием.

7

Большинство методов сжатия данных не может работать эффективно на шифрованной текстовой информации, даже если она отфильтрована, и поэтому при необходимости сжатия данных они должны осуществляться перед шифрованием.

В дальнейшем, при использовании службы обеспечения конфиденциальности, в группе сегментов заголовка системы безопасности может появиться индикация того факта, что данные были сжаты перед шифрованием, а также могут быть указаны использованный алгоритм сжатия и опциональные параметры. В этом случае для восстановления первоначальной структуры EDIFACT сжатые данные после дешифрования должны быть развернуты.

5.2.5 Последовательность выполнения операций

5.2.5.1    Шифрование и сопутствующие ему операции

Для обработки структуры EDIFACT с целью обеспечения конфиденциальности данных необходимо выполнить следующие операции:

1.    Произвести сжатие структуры EDIFACT (опционально) и вычислить контрольное значение параметра целостности для сжатых данных (опционально).

2.    Зашифровать структуру EDIFACT (сжатую и защищенную контрольным параметром целостности).

3.    Произвести фильтрацию сжатых и защищенных контрольным параметром целостности данных (возможно, зашифрованных).

5.2.5.2    Дешифрование и сопутствующие ему операции

Для обработки зашифрованной структуры EDIFACT с целью восстановления ее первоначального вида необходимо выполнить следующие операции:

1.    Восстановить нефильтрованный вид зашифрованных данных (если они были отфильтрованы).

2.    Произвести дешифрование зашифрованных данных.

3.    Проверить контрольное значение параметра целостности зашифрованных данных (если таковое имеется) и развернуть (осуществить декомпрессию) зашифрованных данных для восстановления первоначального вида структуры EDIFACT (если она была сжата).

8

ГОСТ Р ИСО 9735-7-2016

Приложение А (справочное)

Примеры защиты сообщения

А.1 Введение

Приведенный ниже пример иллюстрирует применение сегментов службы безопасности

Этот пример обеспечения конфиденциальности сообщения основан на использовании вымышленных платежных поручений в сеансе EDIFACT Описанные здесь механизмы защиты совершенно не зависят от типа сообщений и применимы к любому сообщению EDIFACT

Пример показывает, каким образом сегменты службы безопасности могут использоваться для обеспечения конфиденциальности информационного наполнения сообщения в случае применения метода, основанного на симметричном алгоритме защиты Предварительно взаимодействующие партнеры обменялись симметричным ключом, и группа сегментов заголовка системы безопасности содержит только два довольно простых сегмента

А.2 Описание примера

Компания А заказывает Банку А (код типа 603000) услугу по списанию с ее счета 00387806 суммы 54345 фунтов и 10 пенсов 9 апреля 1995 года Эта сумма должна быть переведена в Банк В (код типа 201827) на счет 00663151 Компании В, находящейся по адресу West Dock, Milford Haven Платеж производится на основании выставленного счета № 62345 Контактное лицо получателя платежа — м-р Джонс, отдел продаж

Банк А требует, чтобы платежное поручение было защищено службой безопасности ‘Конфиденциальность сообщения'

Такая защита осуществляется путем шифрования тела сообщения с помощью симметричного стандартного кода (DES) на стороне отправителя сообщения При этом предполагается, что предварительно состоялся обмен секретным ключом DES между Компанией А и Банком А В целях уменьшения объема передаваемой информации тело сообщения сжимается перед выполнением процедуры шифрования Для этого используется алгоритм сжатия, представленный в стандарте ISO/1EC 12042 1993 Информационные технологии Уплотнение данных для обмена информацией Алгоритм двоичного арифметического кодирования

А.З Характеристики безопасности

В дальнейшем будет осуществляться обращение только к группам сегментов заголовка и сегментов концевика службы конфиденциальности

ЗАГОЛОВОК СИСТЕМЫ БЕЗОПАСНОСТИ СЛУЖБА ЗАЩИТЫ Конфиденциальность сообщения ССЫЛОЧНЫЙ НОМЕР ЗАЩИТЫ Этот заголовок имеет ссылочный номер 1. ФУНКЦИЯ ФИЛЬТРАЦИИ Все двоичные значения отфильтровываются 16-рич-ным фильтром КОДИРОВАНИЕ ИСХОДНОГО НАБОРА СИМВОЛОВ При шифровании сообщение было представлено в 8-битовом АСКИ-коде УТОЧНЕНИЕ ИДЕНТИФИКАТОРА ЗАЩИТЫ Отправитель сообщения (сторона, шифрующая сообщение) М-р СМИТ из Компании А УТОЧНЕНИЕ ИДЕНТИФИКАТОРА ЗАЩИТЫ Адресат сообщения (сторона, дешифрующая сообщение) Банк А ПОРЯДКОВЫЙ НОМЕР В СЛУЖБЕ ЗАЩИТЫ Порядковый номер этого сообщения в службе защиты 001. SECURITY DATE AND TIME Отметка времени: дата 1995 04 09. время 13:59 50 АЛГОРИТМ ЗАЩИТЫ АЛГОРИТМ ЗАЩИТЫ Используемый алгоритм Криптографический режим работы Алгоритм Механизм дополнения незначащей информацией Используется симметричный алгоритм обеспечения конфиденциальности сообщения Используется режим поблочной передачи зашифрованного текста Используется алгоритм DES Используется схема дополнения двоичными нулями

ПАРАМЕТР АЛГОРИТМА Спецификатор параметра алгоритма Значение параметра алгоритма	Идентифицирует значение параметра этого алгоритма как имя симметричного ключа, переданное в предварительном сеансе обмена Используется клкы с именем ENC-KEY1
АЛГОРИТМ ЗАЩИТЫ
АЛГОРИТМ ЗАЩИТЫ
Способ использования алгоритма	Алгоритм уплотнения используется для сокращения размера сообщения перед его шифрованием
Алгоритм	Используется алгоритм сжатия ИСО 12042
ЗАГОЛОВОК ШИФРОГРАММЫ
ДЛИНА ДАННЫХ 8 ОКТЕТАХ	Размер сжатого, зашифрованного и отфильтрованного тела сообщения
ССЫЛОЧНЫЙ НОМЕР ШИФРОГРАММЫ	Ссылочный номер 1
ЧИСЛО БАЙТОВ ДОПОЛНЕНИЯ	Число байтов дополнения 4
Зашифрованные данные
Зашифрованные данные	Сжатое, зашифрованное и отфильтрованное тело сообщения
КОНЦЕВИК ШИФРОГРАММЫ
ДЛИНА ДАННЫХ В ОКТЕТАХ	Размер сжатого, зашифрованного и отфильтрованного тела сообщения
ССЫЛОЧНЫЙ НОМЕР ШИФРОГРАММЫ	Ссылочный номер 1.
КОНЦЕВИК ЗАЩИТЫ
ЧИСЛО ЗАЩИТНЫХ СЕГМЕНТОВ	Число сегментов 6 (USH, USA, USA, USD, USU, UST)
ССЫЛОЧНЫЙ НОМЕР ЗАЩИТЫ	Ссылочный номер данного концевика защиты 1

10

ГОСТ Р ИСО 9735-7-2016

В.2 Пример дешифрования

Диаграмма, представленная на рисунке В 2. иллюстрирует процесс обработки Конкретные его реализации могут содержать разные последовательности операций и разные конкретные компоненты

Рисунок В.2 — Процессы, задействованные в дешифровании структуры EDIFACT

12

ГОСТ Р ИСО 9735-7-2016

Содержание

1    Область применения................................................................ 1

2    Нормативные ссылки................................................................ 1

3    Термины и определения............................................................. 2

4    Соответствие данному стандарту...................................................... 2

5    Правила обеспечения конфиденциальности EDI......................................... 2

5.1    Конфиденциальность EDIFACT.................................................... 2

5.2    Принципы использования........................................................ 7

Приложение А (справочное) Примеры защиты сообщения................................... 9

Приложение В (справочное) Пример процесса обработки................................... 11

Приложение С (справочное) Служба и алгоритмы обеспечения конфиденциальности............ 13

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации.......................... 19

Библиография.......................................................................20

ГОСТ Р ИСО 9735-7-2016

Введение

Данная часть стандарта включает в себя правила прикладного уровня для структурирования данных в рамках обмена электронными сообщениями в открытой среде с учетом требований пакетной или интерактивной обработки. Эти правила утверхщены Европейской экономической комиссией ООН (UN/ECE) в качестве синтаксических правил организации электронного обмена данными в управлении, торговле и на транспорте (EDIFACT) и являются частью «Каталога ООН по информационному обмену в сфере торговли» (UNTDID), который содержит также рекомендации по разработке сообщений пакетного и интерактивного обмена.

Эта часть может использоваться в любых приложениях, но сообщения, к которым применяются указанные правила, могут определяться только как сообщения типа EDIFACT. если они соответствуют другим рекомендациям, правилам и справочникам в UNTDID. К сообщениям UN/EDIFACT — пакетным или интерактивным — должны применяться соответствующие правила построения сообщений. Эти правила поддерживаются в UNTDID.

Спецификации и протоколы обмена сообщениями в рамках данной части не рассматриваются.

Часть 7 — это новая часть, добавленная в стандарт 9735. Она создает дополнительную возможность обеспечения конфиденциальности структур данных EDIFACT, например таких, как сообщение, пакет, группа или информационный обмен.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ЭЛЕКТРОННЫЙ ОБМЕН ДАННЫМИ В УПРАВЛЕНИИ, ТОРГОВЛЕ И НА ТРАНСПОРТЕ (EDIFACT) Синтаксические правила для прикладного уровня (версия 4, редакция 1)

Часть 7

Правила защиты для пакетного EDI (конфиденциальность)

Electronic data interchange for administration, commerce and transport (EDIFACT) Application level syntax rules (Syntax version number 4. Syntax release number 1) Part 7 Security rules for batch EDI (confidentiality)

Дата введения — 2017—09—01

1    Область применения

Настоящая часть стандарта, касающаяся безопасности пакетного EDIFACT. охватывает защиту уровня сообщений/пакетов. уровня групп и уровня информационного обмена посредством обеспечения их конфиденциальности в соответствии с принятыми механизмами защиты.

2    Нормативные ссылки

Приведенные ниже нормативные документы содержат положения, на которые даются ссылки в настоящем тексте и которые, следовательно, становятся положениями данной части стандарта. Для датированных (жестких) ссылок применимо только указываемое издание: никакие его последующие изменения или редакции не применимы. Однако участникам договоров, в которых используется настоящая часть, рекомендуется изучить возможность применения самых последних изданий ссылочных документов. указанных ниже. Применительно к недатированным ссылочным документам (с плавающими ссылками) действующим остается самое последнее издание нормативного документа. Членами ISO и IEC ведутся реестры действующих международных стандартов.

ISO 9735-1:2002. Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4. Syntax release number 1). Part 1. Syntax rules common to all parts (Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4. редакция 1). Часть 1. Синтаксические правила. общие для всех частей]

ISO 9735-2:2002, Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4, Syntax release number 1). Part 2. Syntax rules specific to batch EDI [Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4. редакция 1). Часть 2. Специфика синтаксических правил для пакетного EDI]

ISO 9735-5:2002. Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4. Syntax release number 1). Part 5. Security rules for batch EDI (authenticity, integrity and non-repudiation of origin) [Электронный обмен данными в управлении. торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4. редакция 1). Часть 5. Правила безопасности для пакетного EDI (подлинность, целостность и невозможность отказа отправителя от авторства сообщения]

ISO 9735-10:2002. Electronic data interchange for administration, commerce and transport (EDIFACT). Application level syntax rules (Syntax version number 4. Syntax release number 2). Part 10. Syntax service directories [Электронный обмен данными в управлении, торговле и на транспорте (EDIFACT). Синтаксические правила для прикладного уровня (версия 4. редакция 1). Часть 10. Каталоги синтаксической службы)

Издание официальное

ISO/IEC 10181-5:1996. Information technology—Open Systems Interconnection — Security frameworks for open systems. Part 5. Confidentiality framework (Информационные технологии. Взаимодействие открытых систем. Основы безопасности для открытых систем. Часть 5. Основы конфиденциальности)

3    Термины и определения

В настоящем стандарте применены термины по ИСО 9735-1.

4    Соответствие данному стандарту

Для соответствия обмена этой части в его обязательном элементе 0002 (номер версии синтаксических правил) должен использоваться номер версии '4'. а в условно-обязательном элементе данных 0076 (номер редакции синтаксических правил) должен указываться номер редакции «01». причем каждый из этих номеров появляется в сегменте UNB (заголовок обмена); однако в обменах, где продолжает использоваться синтаксис, определенный в более ранних версиях, для различения соответствующих синтаксических правил друг от друга и от правил, определенных в данной части, должны использоваться следующие номера версий:

ИСО 9735:1988 — Номер версии синтаксических правил: 1

ИСО 9735:1988 (перепечатанный с изменениями в 1990 г.) — Номер версии синтаксических правил: 2

ИСО 9735:1988 и его Изменение 1:1992 — Номер версии синтаксических правил: 3

ИСО 9735:1998 — Номер версии синтаксических правил: 4

Соответствие стандарту означает, что соблюдены все его требования, включая все возможные опции. Если же поддерживаются не все опции, то в любом заявлении о соответствии должно содержаться положение, идентифицирующее опции, по которым декларируется соответствие.

Данные, используемые в обмене, признаются соответствующими, если их структура и представление отвечают синтаксическим правилам, определенным в данной части стандарта ИСО 9735.

Устройства, поддерживающие настоящую часть стандарта ИСО 9735, признаются соответствующими ему. если эти устройства способны формировать и/или интерпретировать данные, структурированные и представленные в соответствии с требованиями этого стандарта.

Соответствие требованиям настоящей части предполагает обязательное соответствие частям 1, 2, 5 и 10 стандарта ИСО 9735.

Положения смежных стандартов, на которые делается ссылка в настоящей части ИСО 9735, являются составными элементами критериев соответствия.

5    Правила обеспечения конфиденциальности EDI

5.1    Конфиденциальность EDIFACT

5.1.1    Общие положения

Угрозы безопасности, свойственные процессам передачи данных EDIFACT, и службы защиты, связанные с устранением этих угроз, описываются в приложениях А и В стандарта ИСО 9735-5:2002.

В данном подразделе представлено техническое решение по формированию структур EDIFACT. обеспечиваемых защитой конфиденциальности.

Конфиденциальность структуры EDIFACT (сообщения, пакета, группы или обмена) должна обеспечиваться путем шифрования тела сообщения, объекта, сообщений/пакетов или сообщений/пакетов/ групп, соответственно, наряду с любыми другими защитными группами сегментов заголовка и концевика. с использованием надлежащего криптографического алгоритма. Эти шифрованные данные могут отфильтровываться для использования в сетях секретной связи.

5.1.2    Конфиденциальность пакетного EDI

5.1.2.1 Конфиденциальность процедуры информационного обмена

На рисунке 1 представлена структура одного обмена, защищенного с помощью механизма обеспечения конфиденциальности. Рекомендация служебной строки (UNA), сегмент заголовка обмена (UNB) и сегмент концевика обмена (UNZ) шифрованием не затрагиваются.

В случае применения процедуры сжатия данных она должна осуществляться перед шифрованием.

Алгоритм и параметры шифрования, сжатия и фильтрации определяются в группе сегментов заголовка системы безопасности (защиты).

2

ГОСТ Р ИСО 9735-7-2016

Рисунок 1 — Схематическое представление структуры EDI с зашифрованным информационным наполнением (сообщения/лакеты или группы)

5.1.2.2 Конфиденциальность группы

На рисунке 2 представлена структура обмена, содержащего одну шифрованную группу, которая была зашифрована также и для других служб безопасности (защиты). Шифрование не повлияло на сегмент заголовка группы (UNG) и сегмент концевика группы (UNE).

В случае применения процедуры сжатия данных она должна осуществляться перед шифрованием.

Алгоритм и параметры шифрования, сжатия и фильтрации определяются в группе сегментов заголовка системы безопасности (защиты).

Рисунок 2 — Схематическое представление структуры обмена, содержащего одну группу, информационное наполнение которой (тело группы и ассоциируемые с ним группы сегментов заголовка и концевика защиты) было зашифровано

3

ГОСТ Р ИСО 9735-7-2016

5.1.2.3 Конфиденциальность сообщения

На рисунке 3 представлена структура обмена, содержащего одно шифрованное сообщение, которое было зашифровано также и для другой службы безопасности. Шифрование не повлияло на сегмент заголовка сообщения (UNH) и сегмент концевика сообщения (UNT).

В случае применения процедуры сжатия данных эта процедура должна осуществляться перед шифрованием.

Алгоритм и параметры шифрования, сжатия и фильтрации определяются в группе сегментов заголовка системы безопасности (защиты).

5.1.2    4 Конфиденциальность пакета

На рисунке 4 представлена структура обмена, содержащего один шифрованный пакет, который был зашифрован также для другой службы защиты. Шифрование не повлияло на сегмент заголовка пакета (UNO) и сегмент концевика пакета (UNP).

В случае применения процедуры сжатия данных она должна осуществляться перед шифрованием.

Алгоритм и параметры шифрования, сжатия и фильтрации определяются в группе сегментов заголовка защиты.

5.1.3    Структура сегмента заголовка и концевика системы шифрования данных

Таблица 1 — Группы сегментов заголовка и концевика системы безопасности

МЕТКА    Наименование    S    R

-    Группа сегментов 1- С    99

USH    Заголовок защиты    М    1

USA    Алгоритм защиты    С    3

-    Группа сегментов 2- С    2

USC    Сертификат    М    1

USA    Алгоритм защиты    С    3

USR    Результат защиты    С    1

USD    Заголовок системы шифрования данных    М    1

Зашифрованные данные USU    Концевик системы шифрования данных    М    1

- Группа сегментов п- С    99

UST    Концевик защиты    М    1

USR    Результат защиты    С    1

Примечание — Сегменты USH. USA. USC. USR и UST определяются стандартом ISO 9735-10 В настоящей части стандарта ISO 9735 они не детализируются

5.1.4 Детализация сегмента данных п

Группа сегментов 1: USH-USA-SG2 (группа сегментов заголовка системы защиты)

Группа сегментов, идентифицирующая службу защиты и применяемые механизмы обеспечения безопасности; содержит данные, необходимые для выполнения вычислений, связанных с контролем достоверности.

Для обеспечения конфиденциальности должна использоваться только одна группа сегментов заголовка системы безопасности:

USH — заголовок системы обеспечения защиты

Сегмент, определяющий службу безопасности, используемую для обеспечения конфиденциальности структуры EDIFACT. в которую включен данный сегмент (как описано в стандарте ISO 9735-5)

USA — алгоритм защиты

Сегмент, идентифицирующий алгоритм обеспечения безопасности и его техническую реализацию и содержащий необходимые технические параметры. Это могут быть алгоритмы, применяемые к телу сообщения, объекту, сообщениям/пакетам или сообщениям/пакетам/группам. Такие алгоритмы должны быть патентованными симметричными, патентованными сжимающими или патентованными сжимающими с контролем целостности.

Асимметричные алгоритмы не должны вызываться непосредственно в сегменте USA внутри группы сегментов 1, а могут появляться только внутри группы сегментов 2. которая активизируется сегментом USC.

4

Если перед шифрованием применяется алгоритм сжатия (компрессии) данных, то имеющийся сегмент USA используется для задания алгоритма и дополнительного режима функционирования. В этом сегменте могут задаваться значения добавочных параметров — например, исходное дерево каталогов.

Если же применяется компрессия, а используемый алгоритм сжатия не имеет встроенного механизма контроля целостности, то присутствующий сегмент USA предоставляет возможность задать такой механизм. Конкретное значение параметра целостности вычисляется по сжатому тексту до начала его шифрования. Местоположение (те. октетное смещение) параметра контроля целостности внутри сжатых данных может задаваться как значение параметра. Величина смещения параметра контроля целостности (выраженная в октетах) задается косвенно алгоритмом контроля целостности.

Группа сегментов 2: USC-USA-USR (группа сертификата)

Группа сегментов, содержащая данные, которые необходимы для контроля подлинности методов защиты структуры EDIFACT при использовании асимметричных алгоритмов (в соответствии с требованиями ISO 9735-5).

Сегмент USC — сертификат

Сегмент, который содержит мандат владельца сертификата и идентифицирует сертификационный орган, выдавший этот сертификат (в соответствии с требованиями ISO 9735-5).

USA — алгоритм защиты

Сегмент, идентифицирующий алгоритм обеспечения безопасности и его техническую реализацию и содержащий необходимые технические параметры защиты (согласно требованиям ISO 9735-5).

Сегмент USR — результат защиты

Сегмент, содержащий результат применения функций защиты к идентифицированному сертификату (в соответствии с ISO 9735-5).

USD — заголовок системы шифрования данных

Этот сегмент задает объем сжатых (опционально), зашифрованных и отфильтрованных (опционально) данных, выраженный числом октетов. Может быть также задан ссылочный номер для идентификации зашифрованной структуры EDIFACT. При наличии такого номера он должен быть одним и тем же в сегментах USD и USU.

В случае использования операции дополнения незначащей информацией может быть определено число добавленных октетов.

Зашифрованные данные

В этой части находятся данные, зашифрованные с помощью алгоритмов и механизмов, определенных в группе сегментов заголовка системы обеспечения безопасности.

Сегмент USU — концевик системы шифрования данных

Этот сегмент задает длину сжатых (опционально), зашифрованных и отфильтрованных (опционально) данных, выраженную числом октетов. Может быть также задан ссылочный номер для идентификации зашифрованной структуры EDIFACT. При наличии такого номера он должен быть одним и тем же в сегментах USD и USU.

Группа сегментов n: UST-USR (группа сегментов концевика системы защиты)

Группа, содержащая ссылку на группу сегментов заголовка системы безопасности и на результат применения защитных функций к структуре EDIFACT (в соответствии с ISO 9735-5).

Сегмент UST — концевик системы защиты

Сегмент, который является связующим звеном мееду группой заголовка системы безопасности и группой сегментов ее концевика и устанавливает суммарное число защитных сегментов, содержащихся в этих группах с добавлением к нему сегментов USD и USU.

Сегмент USR — результат защиты

Сегмент, содержащий результат применения к структуре EDIFACT функций защиты, заданных в группе заголовка системы безопасности (как это определено в ISO 9735-5). Этот сегмент не должен быть задействован в службе обеспечения конфиденциальности.

5.1.5 Использование заголовка и концевика системы шифрования данных

для обеспечения конфиденциальности

Структура EDIFACT. преобразуемая в зашифрованные данные, упаковывается в «оболочку» между заголовком и концевиком службы шифрования данных Зашифрованные данные и соответствующие группы сегментов заголовка и концевика замещают собой первоначальное тело сообщения, объект или группы сообщений/пакетов. Заголовок и концевик зашифрованной структуры EDIFACT применяемой процедурой шифрования не затрагиваются.