GA 662-2006
基本信息
标准号: GA 662-2006
中文名称:互联网公共、上网服务场所信息安全管理系统上网服务场所端接口技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1124831
相关标签: 互联网 公共 上网 服务 场所 信息安全 管理系统 接口技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA 662-2006.The interface for the end of public service site of information security administration system of public service site for internet.
1范围
GA 662规定了互联网公共上网服务场所信息安全管理系统场所端与远程通讯端之间的通信接口规范。
GA 662适用于互联网公共上网服务场所信息安全管理系统场所端和远程通讯端。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 18030- -2000信息技术 信息交换用汉字编码字符集基本集的扩充
GA/202-2005公安业务基础数据元素代码集
GA660-2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求
3术语和定义
GA6602006中确立的术语和定义适用于本标准。
4接口运用环境
上网服务场所端提供接口的目的是便于为了与远程通讯端的互连,其运用环境如图1所示。
5通信技术规范
5.1 概述
场所端与远程通讯端通信使用三种通道:主通道(Web service)、 文件通道(FTP)、消息通道(UDP)。如图2所示。
主通道采用Webservice方式实现,远程通讯端直接提供具体的方法函数给场所端调用。其特点是稳定、可靠、安全,扩展性好,可满足大部分通信要求。因此主要用于建立场所端与远程通讯端的连接、协定其他通道的建立、下达策略、提交重要信息等。
1范围
GA 662规定了互联网公共上网服务场所信息安全管理系统场所端与远程通讯端之间的通信接口规范。
GA 662适用于互联网公共上网服务场所信息安全管理系统场所端和远程通讯端。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 18030- -2000信息技术 信息交换用汉字编码字符集基本集的扩充
GA/202-2005公安业务基础数据元素代码集
GA660-2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求
3术语和定义
GA6602006中确立的术语和定义适用于本标准。
4接口运用环境
上网服务场所端提供接口的目的是便于为了与远程通讯端的互连,其运用环境如图1所示。
5通信技术规范
5.1 概述
场所端与远程通讯端通信使用三种通道:主通道(Web service)、 文件通道(FTP)、消息通道(UDP)。如图2所示。
主通道采用Webservice方式实现,远程通讯端直接提供具体的方法函数给场所端调用。其特点是稳定、可靠、安全,扩展性好,可满足大部分通信要求。因此主要用于建立场所端与远程通讯端的连接、协定其他通道的建立、下达策略、提交重要信息等。
标准图片预览
标准内容
ICS35.080
中华人民共和国公共安全行业标准GA 662—2006
互联网公共上网服务场所
信息安全管理系统
上网服务场所端接口技术要求
The interfacefortheend of public servicesiteofinformation security administration system of public service site for internet2006-11-10发布
中华人民共和国公安部
2007-01-01实施
本标准的全部技术内容为强制性前言
GA662—2006
在本标准中,互联网公共上网服务场所指除网吧等互联网上网服务营业场所外,宾馆、旅店、图书馆、电脑培训中心等为公众提供互联网上网服务的场所。本标准为互联网公共上网服务场所信息安全管理系统系列标准之\,该系列标准的结构如下:GA658.1~658.10—2006互联网公共.上网服务场所信息安全管理系统信息代码;GA659.1~659.9—2006互联网公共上网服务场所信息安全管理系统数据交换格式;GA660--2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求;
GA661--2006互联网公共上网服务场所信息安全管理系统远程通讯端功能要求:
GA662一2006互联网公共上网服务场所信息安全管理系统上网服务场所端接口技术要求:GA663—2006
互联网公共上网服务场所信息安全管理系统远程通讯端接口技术要求。
本部分由公安部公共信息网络安全监察局提出。本部分由公安部信息系统安全标准化技术委员会口。本部分起草单位:公安部计算机信息系统安全产品质量监督检验中心。本部分主要起草人:顾健,管海晏、陈陵、陆臻、林飞。KAONTKAca
1范围
互联网公共上网服务场所
信息安全管理系统
上网服务场所端接口技术要求
GA662—2006
本标准规定了互联网公共上网服务场所信息安全管理系统场所端与远程通讯端之间的通信接口规范。
本标准适用于互联网公共上网服务场所信息安全管理系统场所端和远程通讯端2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB18030一2000信息技术信息交换用汉字编码字符集基本集的扩充GA/Z02—2005公安业务基础数据元素代码集GA660---2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求3术语和定义
GA660—2006中确立的术语和定义适用于本标准。4接口运用环境
上网服务场所端提供接口的目的是便于为了与远程通讯端的互连,其运用环境如图1所示,其他系统
远程通讯端接口
远程通讯端
上网服务场所端
5通信技术规范
5.1概述
场所端与远程通讯端通信使用三种通道:主通道(Wcbservice)、文件通道(FTP),消息通道(UDP)。如图2所示。
GA6622006
主通道(Webservice)
文件道道(FTP)
消息道道(UDP)
主通道采用Webservice方式实现,远程通讯端直接提供具体的方法函数给场所端调用。其特点是稳定、可靠、安全,扩展性好,可满足大部分通信要求。因此主要用于建立场所端与远程通讯端的连接、协定其他通道的建立、下达策略、提交重要信息等。消息通道使用UDP通信,其优点是高效、占用资源少,可以用来建立双向通信通道,即使场所端在内网,通过NAT与远程通讯端通信,也可以实现远程通讯端命令及时下发,同时可以高效发送随时产生的关键日志等信息。因此本通道主要用于双方交互工作状态、保持连接通道和发送实时信息。但UDP的缺点是不可靠传输,而实时信息都是重要信息,因此当传输失败时,可以转为使用主通道进行传输,也就是说,主通道可以作为消息通道重要信息传输的备用通道。文件通道使用FTP协议通信,其优点是适合传输大数据流,可以实现并发控制和流量控制,因此主要用于定时上传日志、远程查询结果上传,通知报告等非实时性的数据量较大的信息。5.2安全性
为实现身份鉴别、数据保密、数据完整、不可否认性等安全性要求,在远程通讯端和场所端使用了国家认可的数字证书签发机构发行的服务端和客户端证书,需要通信的服务端证书和客户端证书应是同个数字证书签发机构发行的。
服务端安装时需要导入签发机构的根证书、服务端证书,同时数字证书签发机构定期将CRL列表更新到服务端,还需要定期将最新发行的场所端证书的场所信息列表提交给服务端,服务端进行确认后赋予此场所通信的权限。
场所端安装时需要导人签发机构的根证书、客户端证书,每次场所端运行后应先通过主通道(Webservice)进行注册,主通道应建立在SSL安全通道上,所有客户端证书都包含场所名称、场所编码。一条SSL安全通道建立的流程为:·客户端发出建立SSL连接请求;。服务端回应认证请求,内容包括服务端证书,并要求客户端提供的客户端证书;,客户端收到回应后,用签发机构的根证书验证服务端证书,以确定此服务器的身份真实性,然后发送客户端证书;
服务端也同样用签发机构的根证书验证客户端证书,以确定此客户端的身份真实性,并且比对证书签发机构提供的证书撤消列表,来判断该证书是否已被撤消,通过验证后,成功建立SSI通道。
安全通道建立后,当服务端收到场所端注册请求时,将客户端证书中提取的场所名称和场所编码等信息,与服务端的场所信息核对,核对通过后返回注册成功数据,该客户端即可根据该场所在远程通讯端所赋的业务权限进行通信。
HKAoNrKAca
5.3主通道
GA662—2006
主通道采用建立在SSL安全通道上的Web service方式实现,其接口定义包括函数名称、调用参数、返回结果。这是个单向通道,远程通讯端提供服务,场所端作为客户使用服务。Webservice是一个全开放的标准,同时远程通讯端需要与数百甚至上于客户端通信,因此同-场所端与远程通讯端只能够建立一个Webservice通道,
服务端的SSL安全通道设置要求客户端提供证书,场所端SSL设置为验证服务端证书,并且提供客户端证书。
Webservice基本函数约定如下:PublicstringWebMethod(intUnitNo,stringSessionID+stringXml);说明:
a)UnitVo和SessionlD都是通道建立,注册成功后远程通讯端返回的Unit.Vo是场所号,由远程通讯端顺序分配,每个场所对应唯一的场所号,可以是临时的,每次b
远程通讯端重新启动,都重新分配,也可以是不变的。由于场所端可能有多个网关,因此远程通讯端接收到的其对应的IP也可能有不同,无法使用P作为场所的唯一识别,因此使用场所号在通信层唯一的识别对应的场所;c)SessionID是每次注册后远程通讯端随机生成的授权码,用于通信验证,最长32位字符,最短24位字符,在主通道中用于身份验证,在消息通道中作为加密的密钥;Xrnl为调用参数,应采用XML标准描述;d)
e)返回结果为XMl.数据。
如果通道失败,需要等待10重新调用函数,直至有结果返回。如果返回结果码是无效授权码错误,需要重新注册成功后,再次发送。如果函数返回结果码是失败,等待10s重新调用函数,直至3次尝试都返回失败,丢弃此数据包,并且输出日志。
5.4消息通道
消息通道建立在UIDP协议上,采用专用数据包格式,其内容不应大于4096字节。以下数据包格式描述以BackusNaurForm(BNF)表示。基本元素定义:
CR-LF=
SP=CRLF=CR LF
文本申=1(可显示字符SP)
数据包定义:
数据包一起始行
(信息头CRLF)
【信息体】
起始行“ZNMP”SP“1.0”CRLF
信息头一域名\域值
域名一关键字(在表1中说明)
域值一文本串(内容在表1中说明)信息体一二进制字符组成
起始行说明目前协议版本号为1.0。信息头标识个数原则上不限制,可以扩展,最大长度为32个3
GA662—2006
英文字符,对于无法识别的域名可以丢弃。传输内容是按照数据标准组成的XML数据,信息体是此内容加密后的二进制串,加密使用主通道注册获取的SessionID为密钥,采用3DES加密。个完整的数据包同时应包括的信息头如表1所示,可以在具备应要求的域名基础上扩展,实现时对于不可识别的域名,直接抛弃。表1
Method
Length
包类型说明,应为“Request\或“Response”,分别表示请求包及回复包消息包发送序号。对于请求包应是递增的序号,对于回复包就是对应的请求包序号加密级别。“0\表示不加密,“1\表示3DES加密。要求应为“1”场所号(见主通道的摘述)
内容处理方法说明,见数据标准的通信命令定义信息体加密前的散列MD5值
信息体长度,以字节为单位
对于消息通道,在应用层是请求应答方式,即每次请求,都需要等待对方应答表示完成通信(状态包除外),如果应答结果错误,等待10s后重新发送,或者超过10s未收到应答,立即重新发送,如果尝试3次发送失败,使用主通道进行发送。如果返回结果码是无效授权码错误,需要通过主通道重新注册成功后,再次发送。
5.5文件通道
文件通道建立在标准FTP协议上,不进行应用层的专用命令定义。这是一个单向通道,远程通讯端提供服务,场所端作为客户上传或下载文件。由于场所端有可能在内网,同时网关使用NAT,因此场所端的FTP客户端实现和远程通讯端的FTP服务端的实现都应支持被动模式(PASVmode)。文件通道综合考虑安全性及性能,不采用SSL安全通道,但服务端需要实现以下控制:通过主通道针对每次文件传输,动态分配FTP登录的用户名和密码,针对不同场所进行不同的分配,并且其有效性不超过半小时,但有效性计时应是连续空闲时间的总计,不应包括文件传输时间;
支持断点续传;
能够进行流量控制,对同一IP地址同时连接数限制不允许超过5个,并对每个连接控制数据流量,原则上FTP文件传输不能影响其他两个通道的正常传输。建议FTP传输占用带宽不应超过总带宽的50%,最好使用流量控制算法实现带宽的动态分配。传输前应使用随机生成的24位字节密钥对整个文件进行3DES加密,此密钥通过主通道传输,服务端应保证未经加密文件不能通过FTP访问到。建议在加密前进行文件压缩处理。文件通道可传输各种不同的类别或格式的数据文件,且同时提供给不同的场所上传下载文件,所以应统一规范文件名称定义。
文件名称定义为:AAAAAAAAAAAAAABBBBBBBBBBBBBBCCCCC.DDD.EEEA:为14位长度的场所编码,如果为远程通讯端针对指定场所下达的文件,为目标场所编码。如果为远程通讯端针对多个场所下达的文件,前6位为远程通讯端编码,后面补“0”。B:文件生成日期时间截,格式为YYYYMMDDHHNNSS,分别表示年、月、日、时、分、秒。C:为序号,顺序增长并且到最大值后可以循环从1开始。D:原文件格式后缀名。
TYYKAONTKAca
GA662—2006
E:文件压缩格式后缓名,可选择支持ZIP/GZIP/RAR。没有此后缀的文件表示没有压缩。5.6通信流程
概要通信过程:
8)场所端重启后,立即建立全通道:b)主通道建立成功,场所端通过主通道向远程通讯端注册;c)远程通讯端检查场所编码,验证注册信息,通过后,发送UnitNo和SessionID:场所端定时通过消息通道(使用SessionID对内容加密)向远程通讯端发送定时状态包,同时d
也起到维持消息通道的作用,定时状态包不需要应答。远程通讯端应在5min内至少发送次新业务命令,其中命令个数可以为0,目的是让场所端确认消息通道是正常的。如果远程通讯端超过3个定时间隔没有接收到定时状态包,就认为消息通道不可用。如果场所端超过10min没有接收到新业务命令,就认为消息通道不可用,但还是需要定时发送状态包,如果接收到新业务命令,即刻认为消息通道恢复正带。消息通道的定时状态包默认每间隔60s发送,可以由远程通讯端设置(见7.2.5.2)。场所端的日志上传是主要的通信内容,二个通道都支持日志上传。基本上三个通信通道分别用米满足三种上传日志的时间要求。实时上传日志数据使用消息通道,一条日志一个数据包小于100k的日志数据使用主通道大于等于100k的日志数据使用文件通道。5.6.1下发命令
以下描述的是远程通讯端产生命令下发的流程:a)当消息通道正常时,远程通讯端立即通过消息通道发送“新业务命令包”,如果10s内没有接收到应答,再次发送,如此尝试3次,如果还是没有应答,等待1min后重复以上过程。当场所端接收到“新业务命令包”后,立即应答,并且从主通道发送“取业务命令”;b)
当消息通道发生故障时,场所端从主通道每间隔1min,发送“业务命令”;c)远程通讯端在主通道接收到“取业务命令”,立即回复最新管理命令,可以是一条命令,也可以同时返回多条命令
d》场所端接收到命令后,立即返回“汇报业务命令结果”表示收到,处理完毕后,发送“汇报业务命令结果”上报处理结果:
e)场所端处理完毕获取的命令后,继续通过主通道的“取业务命令”请求新命令,直至远程通讯端返回没有命令。
5.6.2文件传输
远程通讯端下发文件流程:
当远程通讯端有文件下发时,产生一条下发文件命令,包含文件长度、类型、名称、加密前全部内容的MI)5散列值、加密密钥和FTP服务的1P地址、端口、登录用户名、密码等信息,通过下发命令流程发给场所端,场所端接收到命令后,立即通过文件通道获取此文件,并且进行解密、校验。场所端上传文件流程:
场所端需上传文件时,通过主通道向远程通讯端发送“请求上传文件”,远程通讯端返回应答,包含FTP服务的IP地址、端口、登录用户名、密码信息和以上信息有效时间,然后场所端再通过文件通道上传文件,如果在有效时问内还有文件需要上传,就不需要再次发送“请求上传文件”。文件上传完成后,场所端需通过主通道向远程通讯端发送完成报告,包含文件长度,类型、文件名、加密前全部内容的MD5散列值、加密密钥,远程通讯端进行长度检查、解密和校验,然后发送完成报告的应答,将检查结果发送给场所端。
场所端根据完成报告的应答结果进行对应文件的处理:如果返回成功,删除对应文件,如果返回失败,重新上传文件,重试3次都失败后删除此文件,并且输出错误日志,5
GA662—2006
6数据标准
参与交互的数据采用XML标准描述,GB18030一2000编码。在Body中的Tahle名称和Item数据项至少要包含每个命令所描述的必选项,允许扩展,即增加新的Table名称,或者针对Item增加数据项。在实现中如果Table名称无法识别,可以抛弃并返回“出现无法识别的数据”的应答;如果Item数据项无法识别,直接抛齐。
6.1基本数据格式
Xml基本格式如下;
中华人民共和国公共安全行业标准GA 662—2006
互联网公共上网服务场所
信息安全管理系统
上网服务场所端接口技术要求
The interfacefortheend of public servicesiteofinformation security administration system of public service site for internet2006-11-10发布
中华人民共和国公安部
2007-01-01实施
本标准的全部技术内容为强制性前言
GA662—2006
在本标准中,互联网公共上网服务场所指除网吧等互联网上网服务营业场所外,宾馆、旅店、图书馆、电脑培训中心等为公众提供互联网上网服务的场所。本标准为互联网公共上网服务场所信息安全管理系统系列标准之\,该系列标准的结构如下:GA658.1~658.10—2006互联网公共.上网服务场所信息安全管理系统信息代码;GA659.1~659.9—2006互联网公共上网服务场所信息安全管理系统数据交换格式;GA660--2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求;
GA661--2006互联网公共上网服务场所信息安全管理系统远程通讯端功能要求:
GA662一2006互联网公共上网服务场所信息安全管理系统上网服务场所端接口技术要求:GA663—2006
互联网公共上网服务场所信息安全管理系统远程通讯端接口技术要求。
本部分由公安部公共信息网络安全监察局提出。本部分由公安部信息系统安全标准化技术委员会口。本部分起草单位:公安部计算机信息系统安全产品质量监督检验中心。本部分主要起草人:顾健,管海晏、陈陵、陆臻、林飞。KAONTKAca
1范围
互联网公共上网服务场所
信息安全管理系统
上网服务场所端接口技术要求
GA662—2006
本标准规定了互联网公共上网服务场所信息安全管理系统场所端与远程通讯端之间的通信接口规范。
本标准适用于互联网公共上网服务场所信息安全管理系统场所端和远程通讯端2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB18030一2000信息技术信息交换用汉字编码字符集基本集的扩充GA/Z02—2005公安业务基础数据元素代码集GA660---2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求3术语和定义
GA660—2006中确立的术语和定义适用于本标准。4接口运用环境
上网服务场所端提供接口的目的是便于为了与远程通讯端的互连,其运用环境如图1所示,其他系统
远程通讯端接口
远程通讯端
上网服务场所端
5通信技术规范
5.1概述
场所端与远程通讯端通信使用三种通道:主通道(Wcbservice)、文件通道(FTP),消息通道(UDP)。如图2所示。
GA6622006
主通道(Webservice)
文件道道(FTP)
消息道道(UDP)
主通道采用Webservice方式实现,远程通讯端直接提供具体的方法函数给场所端调用。其特点是稳定、可靠、安全,扩展性好,可满足大部分通信要求。因此主要用于建立场所端与远程通讯端的连接、协定其他通道的建立、下达策略、提交重要信息等。消息通道使用UDP通信,其优点是高效、占用资源少,可以用来建立双向通信通道,即使场所端在内网,通过NAT与远程通讯端通信,也可以实现远程通讯端命令及时下发,同时可以高效发送随时产生的关键日志等信息。因此本通道主要用于双方交互工作状态、保持连接通道和发送实时信息。但UDP的缺点是不可靠传输,而实时信息都是重要信息,因此当传输失败时,可以转为使用主通道进行传输,也就是说,主通道可以作为消息通道重要信息传输的备用通道。文件通道使用FTP协议通信,其优点是适合传输大数据流,可以实现并发控制和流量控制,因此主要用于定时上传日志、远程查询结果上传,通知报告等非实时性的数据量较大的信息。5.2安全性
为实现身份鉴别、数据保密、数据完整、不可否认性等安全性要求,在远程通讯端和场所端使用了国家认可的数字证书签发机构发行的服务端和客户端证书,需要通信的服务端证书和客户端证书应是同个数字证书签发机构发行的。
服务端安装时需要导入签发机构的根证书、服务端证书,同时数字证书签发机构定期将CRL列表更新到服务端,还需要定期将最新发行的场所端证书的场所信息列表提交给服务端,服务端进行确认后赋予此场所通信的权限。
场所端安装时需要导人签发机构的根证书、客户端证书,每次场所端运行后应先通过主通道(Webservice)进行注册,主通道应建立在SSL安全通道上,所有客户端证书都包含场所名称、场所编码。一条SSL安全通道建立的流程为:·客户端发出建立SSL连接请求;。服务端回应认证请求,内容包括服务端证书,并要求客户端提供的客户端证书;,客户端收到回应后,用签发机构的根证书验证服务端证书,以确定此服务器的身份真实性,然后发送客户端证书;
服务端也同样用签发机构的根证书验证客户端证书,以确定此客户端的身份真实性,并且比对证书签发机构提供的证书撤消列表,来判断该证书是否已被撤消,通过验证后,成功建立SSI通道。
安全通道建立后,当服务端收到场所端注册请求时,将客户端证书中提取的场所名称和场所编码等信息,与服务端的场所信息核对,核对通过后返回注册成功数据,该客户端即可根据该场所在远程通讯端所赋的业务权限进行通信。
HKAoNrKAca
5.3主通道
GA662—2006
主通道采用建立在SSL安全通道上的Web service方式实现,其接口定义包括函数名称、调用参数、返回结果。这是个单向通道,远程通讯端提供服务,场所端作为客户使用服务。Webservice是一个全开放的标准,同时远程通讯端需要与数百甚至上于客户端通信,因此同-场所端与远程通讯端只能够建立一个Webservice通道,
服务端的SSL安全通道设置要求客户端提供证书,场所端SSL设置为验证服务端证书,并且提供客户端证书。
Webservice基本函数约定如下:PublicstringWebMethod(intUnitNo,stringSessionID+stringXml);说明:
a)UnitVo和SessionlD都是通道建立,注册成功后远程通讯端返回的Unit.Vo是场所号,由远程通讯端顺序分配,每个场所对应唯一的场所号,可以是临时的,每次b
远程通讯端重新启动,都重新分配,也可以是不变的。由于场所端可能有多个网关,因此远程通讯端接收到的其对应的IP也可能有不同,无法使用P作为场所的唯一识别,因此使用场所号在通信层唯一的识别对应的场所;c)SessionID是每次注册后远程通讯端随机生成的授权码,用于通信验证,最长32位字符,最短24位字符,在主通道中用于身份验证,在消息通道中作为加密的密钥;Xrnl为调用参数,应采用XML标准描述;d)
e)返回结果为XMl.数据。
如果通道失败,需要等待10重新调用函数,直至有结果返回。如果返回结果码是无效授权码错误,需要重新注册成功后,再次发送。如果函数返回结果码是失败,等待10s重新调用函数,直至3次尝试都返回失败,丢弃此数据包,并且输出日志。
5.4消息通道
消息通道建立在UIDP协议上,采用专用数据包格式,其内容不应大于4096字节。以下数据包格式描述以BackusNaurForm(BNF)表示。基本元素定义:
CR-
SP=
文本申=1(可显示字符SP)
数据包定义:
数据包一起始行
(信息头CRLF)
【信息体】
起始行“ZNMP”SP“1.0”CRLF
信息头一域名\域值
域名一关键字(在表1中说明)
域值一文本串(内容在表1中说明)信息体一二进制字符组成
起始行说明目前协议版本号为1.0。信息头标识个数原则上不限制,可以扩展,最大长度为32个3
GA662—2006
英文字符,对于无法识别的域名可以丢弃。传输内容是按照数据标准组成的XML数据,信息体是此内容加密后的二进制串,加密使用主通道注册获取的SessionID为密钥,采用3DES加密。个完整的数据包同时应包括的信息头如表1所示,可以在具备应要求的域名基础上扩展,实现时对于不可识别的域名,直接抛弃。表1
Method
Length
包类型说明,应为“Request\或“Response”,分别表示请求包及回复包消息包发送序号。对于请求包应是递增的序号,对于回复包就是对应的请求包序号加密级别。“0\表示不加密,“1\表示3DES加密。要求应为“1”场所号(见主通道的摘述)
内容处理方法说明,见数据标准的通信命令定义信息体加密前的散列MD5值
信息体长度,以字节为单位
对于消息通道,在应用层是请求应答方式,即每次请求,都需要等待对方应答表示完成通信(状态包除外),如果应答结果错误,等待10s后重新发送,或者超过10s未收到应答,立即重新发送,如果尝试3次发送失败,使用主通道进行发送。如果返回结果码是无效授权码错误,需要通过主通道重新注册成功后,再次发送。
5.5文件通道
文件通道建立在标准FTP协议上,不进行应用层的专用命令定义。这是一个单向通道,远程通讯端提供服务,场所端作为客户上传或下载文件。由于场所端有可能在内网,同时网关使用NAT,因此场所端的FTP客户端实现和远程通讯端的FTP服务端的实现都应支持被动模式(PASVmode)。文件通道综合考虑安全性及性能,不采用SSL安全通道,但服务端需要实现以下控制:通过主通道针对每次文件传输,动态分配FTP登录的用户名和密码,针对不同场所进行不同的分配,并且其有效性不超过半小时,但有效性计时应是连续空闲时间的总计,不应包括文件传输时间;
支持断点续传;
能够进行流量控制,对同一IP地址同时连接数限制不允许超过5个,并对每个连接控制数据流量,原则上FTP文件传输不能影响其他两个通道的正常传输。建议FTP传输占用带宽不应超过总带宽的50%,最好使用流量控制算法实现带宽的动态分配。传输前应使用随机生成的24位字节密钥对整个文件进行3DES加密,此密钥通过主通道传输,服务端应保证未经加密文件不能通过FTP访问到。建议在加密前进行文件压缩处理。文件通道可传输各种不同的类别或格式的数据文件,且同时提供给不同的场所上传下载文件,所以应统一规范文件名称定义。
文件名称定义为:AAAAAAAAAAAAAABBBBBBBBBBBBBBCCCCC.DDD.EEEA:为14位长度的场所编码,如果为远程通讯端针对指定场所下达的文件,为目标场所编码。如果为远程通讯端针对多个场所下达的文件,前6位为远程通讯端编码,后面补“0”。B:文件生成日期时间截,格式为YYYYMMDDHHNNSS,分别表示年、月、日、时、分、秒。C:为序号,顺序增长并且到最大值后可以循环从1开始。D:原文件格式后缀名。
TYYKAONTKAca
GA662—2006
E:文件压缩格式后缓名,可选择支持ZIP/GZIP/RAR。没有此后缀的文件表示没有压缩。5.6通信流程
概要通信过程:
8)场所端重启后,立即建立全通道:b)主通道建立成功,场所端通过主通道向远程通讯端注册;c)远程通讯端检查场所编码,验证注册信息,通过后,发送UnitNo和SessionID:场所端定时通过消息通道(使用SessionID对内容加密)向远程通讯端发送定时状态包,同时d
也起到维持消息通道的作用,定时状态包不需要应答。远程通讯端应在5min内至少发送次新业务命令,其中命令个数可以为0,目的是让场所端确认消息通道是正常的。如果远程通讯端超过3个定时间隔没有接收到定时状态包,就认为消息通道不可用。如果场所端超过10min没有接收到新业务命令,就认为消息通道不可用,但还是需要定时发送状态包,如果接收到新业务命令,即刻认为消息通道恢复正带。消息通道的定时状态包默认每间隔60s发送,可以由远程通讯端设置(见7.2.5.2)。场所端的日志上传是主要的通信内容,二个通道都支持日志上传。基本上三个通信通道分别用米满足三种上传日志的时间要求。实时上传日志数据使用消息通道,一条日志一个数据包小于100k的日志数据使用主通道大于等于100k的日志数据使用文件通道。5.6.1下发命令
以下描述的是远程通讯端产生命令下发的流程:a)当消息通道正常时,远程通讯端立即通过消息通道发送“新业务命令包”,如果10s内没有接收到应答,再次发送,如此尝试3次,如果还是没有应答,等待1min后重复以上过程。当场所端接收到“新业务命令包”后,立即应答,并且从主通道发送“取业务命令”;b)
当消息通道发生故障时,场所端从主通道每间隔1min,发送“业务命令”;c)远程通讯端在主通道接收到“取业务命令”,立即回复最新管理命令,可以是一条命令,也可以同时返回多条命令
d》场所端接收到命令后,立即返回“汇报业务命令结果”表示收到,处理完毕后,发送“汇报业务命令结果”上报处理结果:
e)场所端处理完毕获取的命令后,继续通过主通道的“取业务命令”请求新命令,直至远程通讯端返回没有命令。
5.6.2文件传输
远程通讯端下发文件流程:
当远程通讯端有文件下发时,产生一条下发文件命令,包含文件长度、类型、名称、加密前全部内容的MI)5散列值、加密密钥和FTP服务的1P地址、端口、登录用户名、密码等信息,通过下发命令流程发给场所端,场所端接收到命令后,立即通过文件通道获取此文件,并且进行解密、校验。场所端上传文件流程:
场所端需上传文件时,通过主通道向远程通讯端发送“请求上传文件”,远程通讯端返回应答,包含FTP服务的IP地址、端口、登录用户名、密码信息和以上信息有效时间,然后场所端再通过文件通道上传文件,如果在有效时问内还有文件需要上传,就不需要再次发送“请求上传文件”。文件上传完成后,场所端需通过主通道向远程通讯端发送完成报告,包含文件长度,类型、文件名、加密前全部内容的MD5散列值、加密密钥,远程通讯端进行长度检查、解密和校验,然后发送完成报告的应答,将检查结果发送给场所端。
场所端根据完成报告的应答结果进行对应文件的处理:如果返回成功,删除对应文件,如果返回失败,重新上传文件,重试3次都失败后删除此文件,并且输出错误日志,5
GA662—2006
6数据标准
参与交互的数据采用XML标准描述,GB18030一2000编码。在Body中的Tahle名称和Item数据项至少要包含每个命令所描述的必选项,允许扩展,即增加新的Table名称,或者针对Item增加数据项。在实现中如果Table名称无法识别,可以抛弃并返回“出现无法识别的数据”的应答;如果Item数据项无法识别,直接抛齐。
6.1基本数据格式
Xml基本格式如下;