JT/T 765.5-2016
基本信息
标准号: JT/T 765.5-2016
中文名称:长江电子航道图制作规范第5部分:数据保护
标准类别:交通行业标准(JT)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
JT/T 765.5-2016.
1范围
JT/T 765.5规定了长江电子航道图数据保护总体框架、各参与方的交互程序、用户许可证、单元许可证、数字证书、数字签名、加密等要求。
JT/T 765.5适用于长江电子航道图制作、系统开发、设计和应用,其他内河电子航道图系统也可参照使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
JI/T 765.1长江电 子航道图制作规范第1 部分:术语
3术语和定义
JI/T 765. 1界定的术语和定义适用于本文件。
4长江电子航道图数据保护总体框架
4.1总体要求
4.1.1长江电 子航道图数据保护方案规定了四类参与方,分别为系统管理员、数据服务商、设备制造商、数据用户。
4.1.2系统管理员为任何加人长江电子航道图数据保护方案的设备制造商分配--对唯一的制造商标识符( M ID)和制造商密钥(M_ KEY)值,并将所有设备制造商的M_ ID 和M KEY记录下来,形成设备制造商信息表。设备制造商为购买其产品的数据用户分配- 个唯- -的硬件标识符(HW_ _ID) ,并用自已的M_ KEY将其加密后形成用户许可证,随产品一同提供给数据用户。
4.1.3对于任何加入长江电子航道图数据保护方案的数据服务商,系统管理员向其提供设备制造商信息表,并保证表内容的及时更新。
1范围
JT/T 765.5规定了长江电子航道图数据保护总体框架、各参与方的交互程序、用户许可证、单元许可证、数字证书、数字签名、加密等要求。
JT/T 765.5适用于长江电子航道图制作、系统开发、设计和应用,其他内河电子航道图系统也可参照使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
JI/T 765.1长江电 子航道图制作规范第1 部分:术语
3术语和定义
JI/T 765. 1界定的术语和定义适用于本文件。
4长江电子航道图数据保护总体框架
4.1总体要求
4.1.1长江电 子航道图数据保护方案规定了四类参与方,分别为系统管理员、数据服务商、设备制造商、数据用户。
4.1.2系统管理员为任何加人长江电子航道图数据保护方案的设备制造商分配--对唯一的制造商标识符( M ID)和制造商密钥(M_ KEY)值,并将所有设备制造商的M_ ID 和M KEY记录下来,形成设备制造商信息表。设备制造商为购买其产品的数据用户分配- 个唯- -的硬件标识符(HW_ _ID) ,并用自已的M_ KEY将其加密后形成用户许可证,随产品一同提供给数据用户。
4.1.3对于任何加入长江电子航道图数据保护方案的数据服务商,系统管理员向其提供设备制造商信息表,并保证表内容的及时更新。
标准图片预览
标准内容
2规范性引用文件
术语和定义
4长江电子航道图数据保护总体框架4.1、总休要求
4.2各参与方的职贡
5 各参与方的交互程序
5.1SA创建自己的数字证书.
5.2DS加人数据保护体系的基本程序..5.3OEM加入数据保护体系的基本程序5.4DC向0EM购买新设备的程序
5.5SA 与 DC 的交互程序
5.6DC购买并使用DS提供的电子航道图的程序6
用广许可证
M_IT) 的格式
M_KEY的格式.
6.3HW I的格式-
6.4用户许可证的格式
6.5用户许可证的创建程序
6.6用户许可证的解密程序
单元许可证
一般要求
7.2电了航道图单元名称与过期口期的格式7.3加密后的单元密钥(ECK1,ECK2)格式.7.4加密校验和的格式
单元许可证的传输
7.石元许可证文件的定义·
7.7创建单元许可证的程序
JT/T 765.5-2016
JT/T765.5—2016
7.8核查单元许可证文件的程序
7.9核实单元许可证ENC校验和的程序7.10
解密单元许可证中单元密钥的程序数字证书:
SA公开密钥和DS公开密钥的格式8.2
自我签名密钥格式·
DS证书的格式规则
数字证书的创建程序
数字签名
数字签名文件格式·
ENC数字签名文件格式
数字签名的创建程序
般要求
加密ENC基本单元文件的程序
解密ENC基本单元文件的程序:
加密ENC更新文件的程序
解密ENC更新文件的程序
使用基本许可证文件选择单元密钥的程序使用元许可证文件选择单元密钥12
JT/T 765.5—2016
7.8核查单元许可证文件的程序
7.9核实单元许可证EVC 校验和的程序7.10解密单元许可证中单元密钊的程序数字证书
8.1SA公开密钥和DS公开密钥的格式8.2自我签名密钥挤式·
8.3DS证书的格式规则..*.
8.4数字证书的创建程序..
数字签名
数字签名文件格式·
9,2ENC 数字签名文件格式
数字签名的创建程序
般要求
如缔ENC基本单元文件的程序,
10.3解密ENC基本单元文件的程序10.4加密EN史新文件的程序
10.5解密ENC更新文件的程序
10.6使用基本许可证文件选择单元缩钥的程序10.7使用元许可证文件选择单元密钥12
JT/T765《长江电子航道图制作规范》分为五个部分:第1部分:术语;
—第2部分:数据传输;
一第3部分:显示准则;
一第4部分:数据有效性检验;
一第5部分:数据保护。
本部分为JT/T765的第5部分。
本部分按照GB/T1.1-2009给出的规则起草。JT/T765.5—2016
本部分代替JT/T765.5一2009《长江电子航道图制作规范第5部分:数据保护》,与JT/T765.5—2009相比主要技术变化如下:一删除了原标准中的部分示例(见2009年版的6.4等),并将部分示例转化为文字叙述(见6.4等)。
本部分对应于国际海道组织(IHO)S-63《IHO数据保护方案》(IHODataProtectionScheme)。本部分与IHOS-63的一致性程度为非等效本部分由交通运输信息通信及导航标准化技术委员会提出并归口。本部分起草单位:长江航务管理局、长江航道局、大连海事大学。本部分主要起草人:但乃越、杜经农、朱业汉、杨大鸣、章娟、刘青、张娜、俞建林、万大彬、程大炜、赵德鹏、李源惠、宋良福、曹成、顾网林、李海、董华。本部分所代替标准的历次版本发布情况为:JT/T765.5-2009。1范围
长江电子航道图制作规范
第5部分:数据保护此内容来自标准下载网
JT/T765.5—2016
JT/T765的本部分规定了长江电子航道图数据保护总体框架、各参与方的交互程序、用户许可证单元许可证、数字证书、数字签名、加密等要求本部分适用于长江电子航道图制作、系统开发、设计和应用,其他内河电子航道图系统也可参照使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。JT/T765.1长江电子航道图制作规范第1部分:术语3术语和定义
JT/T765.1界定的术语和定义适用于本文件。4长江电子航道图数据保护总体框架4.1总体要求
4.1.1长江电子航道图数据保护方案规定了四类参与方,分别为系统管理员,数据服务商、设备制造商、数据用户。
4.1.2系统管理员为任何加入长江电子航道图数据保护方案的设备制造商分配一对唯一的制造商标识符(MID)和制造商密钥(MKEY)值,并将所有设备制造商的MID和M_KEY记录下来,形成设备制造商信息表。设备制造商为购买其产品的数据用户分配一个唯一的硬件标识符(HWID),并用自已的M_KEY将其加密后形成用户许可证,随产品一同提供给数据用户。4.1.3对于任何加入长江电子航道图数据保护方案的数据服务商,系统管理员向其提供设备制造商信息表,并保证表内容的及时更新。4.1.4数据用户需要购买数据服务商的电子航道图时,向其提供自已的用户许可证,数据服务商用单元密钥对电子航道图数据进行加密,并利用用户许可证中的HWID加密单元密钥,形成单元许可证,将电子航道图和单元许可证发送给数据用户。数据用户收到电子航道图和单元许可证后,利用自已用户许可证中的HW_ID对单元许可证解密,得到单元密钥,并用单元密钥对电子航道图进行解密。4.1.5为在上述保护过程中实现身份认证,采用数字证书的方式来进行签名认证。系统管理员创建自已的系统管理员数字证书,并将该证书发布给设备制造商、数据服务商和数据用户。数据服务商创建自已的数据服务商自我签名密钥文件(SSK)并提交给系统管理员,系统管理员核实SSK文件后,用自已的私有密钥对数据服务商公开密钥进行签名,生成数据服务商数字证书,并发布给数据服务商。数据服务商在向数据用户发送电子航道图前,先用自已的私有密钥对电子航道图签名,并和数据服务商数字证1
JT/T765.5—2016
书结合,形成电子航道图的签名文件,随电子航道图一起提供给数据用户。数据用户收到电子航道图签名文件后,利用系统管理员数字证书中的公开密钥来核实数据服务商证书,再利用数据服务商证书中的公开密钥来核实电子航道图的签名,如果正确,则电子航道图可以便用,否则因不能确认来源面拒绝使用。
4.2各参与方的职责
4.2.1系统管理员
系统管理员(SA)应根据需要维护策略的正常运行,制作并发布方案根证书,接受设备制造商(OEM)的申请,并为符合要求的OEM创建M_ID和MKEY信息。SA还应为数据服务商(DS)发放数字证书,在电子航道图发布过程中实现身份认证。SA的主要职责是:a)
确认OEM发送的M_ID、M_KEY申请表格;确认DS发送的数据服务商申请表格;b)
c)与OEM签订协议书;
与DS签订协议书:
为每个OEM创建一一对应的M_ID和M_KEY;e)
为每个DS创建数据服务商证书;f)
创建系统管理员数字证书以提供给电子航道图显示与信息系统(ECDIS)用户;g)
负责管理各种文档,并将系统成员所需文档发送给成员。4.2.2数据服务商
数据服务商(DS)应负责加密和签署电子航道图(ENC)信息,通过网络或者数据光盘的形式为用户提供更新ENC服务。每个长江电子航道图数据提供商应符合国家相关的资质规定,并经SA认证通过具有向用户发布数据的资格。DS的主要职责是:向SA申请发布ENC数据的资格;
b)与SA签署协议,由SA向其分配M_ID和M_KEY;创建自已的SSK证书文件:
鉴定ENC请求用户的合法性;
创建加密ENC文件所需的单元密钥;e)
创建单元许可证文件和元数据文件:压缩、加密以及签署ENC并发送给用户;产生单元许可证文件和元数据文件,发送给请求用户;h)
管理加密ENC的密钥以及其他用户资料等文档文件。4.2.3设备制造商
设备制造商(OEM)主要负责开发一套电子航道图处理系统(EPS),该系统按照本规范要求具备对ENC数据的保护功能。同时,还具备处理保护的ENC数据,以便在ECDIS平台显示正确的电子航道图数据信息的能力。为了加入长江电子航道图数据保护方案,相应的OEM应完成方案的要求,取得资格认证后才能加人本保护方案,并且获取MID和MKEY来实现他们的系统,提供支持该安全方案的船舶导航产品。OEM的主要职责是:a)申请制造商资格;
b)与SA签署协议;
c)为每台设备创建HW_ID;
d)将每个HW_ID记录在HW_ID登记表中,并且进行管理;e)开发符合本规范要求的EPS系统;f)为电子航道图显示与信息系统(ECDIS)创建用户许可证文件。4.2.4数据用户
JT/T765.5—2016
数据用户(DC)是电子航道图信息的使用者,从DS那接收加以保护的ENC信息。ECDIS用户负责鉴别ENC的数字签名和按照保护方案定义的程序对ENC进行解密。DC的主要职责是:a)从SA网站下载系统管理员数字证书,用以鉴别DS的合法性;向DS提供用户许可证文件,以获得新的ENC文件;b)
管理多个DS各自的用户许可证文件。c)
各参与方的交互程序
5.1SA创建自己的数字证书
SA创建自已的私有密钥和公有密钥,使用私有密钥对公有密钥进行签名,将签名算法的返回值与公有密钥结合,创建SA数字证书。5.2DS加入数据保护体系的基本程序DS加入数据保护体系的基本程序如下:a)DS创建自己的公开密钥、私钥对;b)DS创建SSK文件
DS填写“长江电子航道图数据保护系统数据服务商证书请求表”;c)
DS将申请表、SSK文件以及数据服务商公开密钥文件发送给SA;e
SA通过电话、电子邮件等方式对申请表格和SSK文件的来源等进行确认:SA核实SSK文件的格式是否符合本规范要求;f)
SA利用DS发送的公开密钥文件核实SSK文件:g
如果对SSK文件的鉴别合法,且该DS符合国家相关资质要求,SA创建DS证书,否则,给请求的DS发出错误信息。
5.3OEM加入数据保护体系的基本程序OEM加入数据保护体系的基本程序如下:a)OEM完成M_ID/M_KEY申请表的填写(主要包括OEM的详细信息以及请求所需文件);b)SA核实M_ID/M_KEY表格第一部分(主要核实设备制造商对表格的填写是否完整);SA核实OEM是否签署“长江电子航道图数据保护协议书”;c
SA核实OEM开发的系统是否符合本规范标准:SA核实OEM没有M_ID/M_KEY对(主要确认该申请的OEM未曾有过M_ID/M_KEY,即表e)
明申请者是新的OEM);
SA创建M_ID/M_KEY,并且存储到M_ID/M_KEY登记表内;f)
SA将M_ID/M_KEY发送给OEM,同时也将这个新的M_ID/M_KEY发送给系统内所有的DSg)
5.4DC向OEM购买新设备的程序
DC按如下程序向OEM购买设备:
a)DC向OEM递交标识身份的用户许可证文件(主要是申请ENC文件):3
JT/T765.5—2016
b)OEM生成一份包含DC硬件设备标识HW_ID和M_ID信息的用户许可证文件:OEM将研制生产的EPS系统和新生成的用户许可证文件以及ECDIS系统一起发送给DC。c
5.5SA与DC的交互程序
DC按如下程序从SA处获得并验证数字证书:a)DC从SA获取SA数字证书:
b)对SA数字证书格式进行核对;利用SA公开密钥鉴别SA数字证书(比较数字证书,包括SA公开密钥与从SA网站获得的公c)
开密钥是否一致)。
5.6DC购买并使用DS提供的电子航道图的程序DC购买并使用DS提供的电子航道图的程序如下:a)DC向DS递交用户许可证以申请电子航道图文件:b)DS从用户许可证中获得M_ID,并查对从SA那里得到的M_ID/M_KEY登记表,找到与该M_ID对应的M_KEY;
DS使用M_KEY解密用户许可证,获得DC的HW_ID,用来加密单元密钥;c)
DS生成单元许可证文件;
DS用zip算法压缩电子航道图单元数据,并用单元密钥加密压缩后的数据;e)
DS利用自已的私有密钥对加密后的电子航道图单元数据进行数字签名;f)
DS将加密后的电子航道图单元数据、单元许可证文件和数字签名文件一起发送给DC;g)
DC核对DS发送的相关文件(主要包括签名文件是否包含签名和证书对,核实签名文件是否h)
符合本规范要求的格式);
DC鉴别签名文件中的DS证书是否合法。如果合法,从签名文件中提取DS公开密钥;1)
DC鉴别电子航道图单元数据的签名文件:j)
DC通过系统软件提取自已机器上的HW_ID来解密单元许可证,得到电子航道图数据文件的单元密钥,利用系统解密数据并使用。6用户许可证
6.1M_ID的格式
M_ID是4位长度的16进制数字(两字节),以ASCII码表示。SA应向每个加入长江电子航道图数据保护体系的设备制造商分配一对M_ID/M_KEY。6.2M_KEY的格式
M_KEY是10位长度的16进制数字(五字节)。6.3HW_ID的格式
HW_ID是五字节的十进制数字,由OEM分配给购买其系统的DC。OEM应为每一个系统指定一个唯一的HW_ID,建议HW_ID以不连续的方式来分配。在用户许可证中HW_ID以加密的形式存在。HWID用M_KEY作为加密密钥,利用Blowfish算法进行加密。加密以后的HW_ID是八字节长的十进制数,被转化成16位长度的16进制数,以ASCII码表示。4
6.4用户许可证的格式
JT/T765.5—2016
用户许可证为28字符长度,用ASCII文本书写,其格式和字段长度要求见表1。表1
加密后的HW_ID
16位16进制数
校验和
8位16进制数
4位16进制数
表1中每个字段中的16进制数均以ASCII码表示,其中任何字母字符应大写。用户许可证中的校验和是用CRC32算法对加密后的HW_ID进行散列计算后得到。该散列计算结果被转化为8位16进制数,示例:
用户许可证的最终表现形式为:73871727080876A07E450C043031。6.5用户许可证的创建程序
用户许可证的创建程序由系统或者应用程序提供商执行,生成的用户许可证发送给DC,用作DC请求单元许可证时的自身标识。用户许可证和系统一起交给终端用户。用户许可证的创建过程如下:a)
MKEY作为密钥,利用Blowfish算法对HW_ID进行加密;将结果转换成16位16进制字符串,每一个字母都应大写表示;利用CRC32算法散列上面的16位16进制字符串;将c)输出的结果转化为8位16进制字符串,每一个字母都应大写表示,即CheckSum(校验和):将d)输出的结果附加在b)的输出结果;将MID转化为4位16进制字符串,任何字母应以大写表示:将f)的输出结果附加到e)的输出结果的后面即用户许可证。示例:
用户许可证的标识符及内容参见表2,创建程序见表3。表2
标识符
步骤a)的输人
步骤a)的输出
步骤c)的输入
步骤c)的输出
步骤e)的输出
用户许可证
3132333438
3938373635
3132333438和3938373635
八字节
73871727080876A0
7E450C04
73871727080876A07E450C04
73871727080876A07E450C043031备注
16进制表示的HW_ID
16进制表示的MKEY
16进制表示的MID
16进制表示的HW_ID和M_KEY
不可打印
这是步骤a)输出的16进制字符串表现形式。这个字符串从左到右输入给散列算法,例如73、87、17····
用16进制表示的CRC32散列结果
将CRC32散列结果附加在加密后的HWID后
JT/T765.5—2016
6.6用户许可证的解密程序
用户许可证的解密程序由DS的系统运行。用户许可证的结构在6.4中定义。用户许可证的解密程序如下:
从用户许可证中提取M_ID(4位16进制字符);b)
从用户许可证中提取校验和(CheckSum,为8位16进制字符);c)
利用CRC32算法散列加密的HW_ID(用户许可证中前16位字符);比较b)和c)的输出,如果相同,则该用户许可证是合法的。如果不同,则该用户许可证是不合法的,从而不能获得相应的HWID如果用户许可证是合法的,把这个加密的HWID转换成八字节:将MKEY作为解密密钥,利用Blowfish算法解密这个加密的HW_ID,所得结果就是HW_ID。f)
示例:
用户许可证的解密程序参见表4和表5。表4
标识符
用户许可证
步骤a)的输出
步骤b)的输出
步骤c)的输入
步骤c)的输出
步骤f)的输出
单元许可证
7.1一般要求
73871727080876A07E450C0430313938373635
7E450C04
73871727080876A0
7E450C04
3132333438
16进制的M_KEY
提取的M_ID
提取出来的校验和
字节从左到右输出给散列函数,例如7387.17
从加密的HW_ID中提取出来的校验和16进制表示的HW_ID
7.1.1电子航道图单元数据在发布前应由DS使用单元密钥进行加密,该单元密钥是与该电子航道图单元数据唯一对应的。DC应获得这个密钥才能解密数据。这个单元密钥由DS以加密表格的形式一一单元许可证提供给DC。一个单元许可证文件可以包括一个或者多个电子航道图的单元密钥。7.1.2单元许可证的发布针对指定的HWID,在安装系统之间是不可转换的。加密方案支持能在所有客户之间相互传送的普通加密CD形式。7.1.3DS通过其得到的用户许可证获得用户的HW_ID,通过用户的HW_ID加密电子航道图单元密钥从而形成单元许可证,确保单元许可证不能在DC之间进行传送。终端用户利用其HWID对单元许可证进行解密,以便获得解密电子航道图所需的单元密钥。7.1.4发布单元许可证需要两个文件:a)包含解密电子航道图所需本质信息的基本许可证文件,在7.5中定义;6
b)包含易于数据管理和解密的补充信息的元许可证文件,在7.6中定义。JT/T765.5—2016
7.1.5客户系统应负责管理来自多个DS的权证文件。来源于某个DS的权证文件不能用来解密来自另一个DS的电子航道图。
7.1.6二个单元许可证包括两个加密的单元密钥,即包含当前版本电子航道图解密密钥的单元密钥1(ECK1),以及用作下一版本电子航道图单元的解密密钥ECK2。单元许可证里面的ECK2使得DS能周期性地改变用于电子航道图下一版本的单元密钥,而无须对其他DC发布新的单元许可证。7.1.7除了这些密钥以外,单元许可证还包括过期日期(这个日期之后的更新文件不能使用)和单元标识(便于用户在有好儿个单元和权证文件的情况下,系统能够将两者相匹配)。7.1.8终端用户将单元许可证里面的过期日期与需要解密的电子航道图单元进行比较,如果需要解密的电子航道图单元或者更新文件的生产日期在许可证的过期日期之后,系统将不会使用单元许可证来解密数据,以防止用户使用过期的电子航道图单元文件或者更新文件。7.1.9电子航道图的基本单元或更新文件的发布日期编码包含在电子航道图数据集文件的DSID-ISDT子字段里。这些数据文件总是加密的,除非已经解密,否则无法得到发布日期。为了提供一种获得发布日期而不需要解密这些电子航道图文件的简便机制,DSID-ISDT学段的内容应被复制到数据集所含文件CATALOG.031的CATD-COMT字段中,以保障系统能快速检查这个电子航道图信息是否在许可证过期日期之后,而无须解密电子航道图。示例:
CATALOG.031文件中的CATD-COMT编码如下:VERSI0N=1.0,EDTN=10,UPDN=0,UADT=20030224,ISDT=200302247.1.10单元许可证以ASCII文本的形式书写,任何字母字符都应大写表示,其格式和字段长度见表6。
航道图单元名称
8个字母或数字
示例:
过期日期
8个数字
单元许可证中各字段数据参见表7。航道图单元名称
N04D0613
过期日期
20000830
加密后的CK1
16位16进制数
加密后的单元密钥1
(ECK1)
BEB9BFE3C7C6CE68
加密后的CK2
16位16进制数
加密后的单元密钥2
(ECK2)
B16411FD09F96982
加密后的校验和
16位16进制数
加密校验和
795C77B204F54D48
单元许可证最终的表现形式为:NO4D061320000830BEB9BFE3C7C6CE68B16411FD09F96982795C77B204F54D487.2电子航道图单元名称与过期日期的格式电子航道图单元名称是八字节的字母数字串,遵循JT/T765.2—2016附录B中所定义的单元文件命名规则。
示例:
如表7所示,航道图单元名称表示为:N04D0613。过期日期的格式应为:年月日(YYYYMMDD)。示例:
如表7所示,过期日期2000年8月30日表示为:20000830。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
术语和定义
4长江电子航道图数据保护总体框架4.1、总休要求
4.2各参与方的职贡
5 各参与方的交互程序
5.1SA创建自己的数字证书.
5.2DS加人数据保护体系的基本程序..5.3OEM加入数据保护体系的基本程序5.4DC向0EM购买新设备的程序
5.5SA 与 DC 的交互程序
5.6DC购买并使用DS提供的电子航道图的程序6
用广许可证
M_IT) 的格式
M_KEY的格式.
6.3HW I的格式-
6.4用户许可证的格式
6.5用户许可证的创建程序
6.6用户许可证的解密程序
单元许可证
一般要求
7.2电了航道图单元名称与过期口期的格式7.3加密后的单元密钥(ECK1,ECK2)格式.7.4加密校验和的格式
单元许可证的传输
7.石元许可证文件的定义·
7.7创建单元许可证的程序
JT/T 765.5-2016
JT/T765.5—2016
7.8核查单元许可证文件的程序
7.9核实单元许可证ENC校验和的程序7.10
解密单元许可证中单元密钥的程序数字证书:
SA公开密钥和DS公开密钥的格式8.2
自我签名密钥格式·
DS证书的格式规则
数字证书的创建程序
数字签名
数字签名文件格式·
ENC数字签名文件格式
数字签名的创建程序
般要求
加密ENC基本单元文件的程序
解密ENC基本单元文件的程序:
加密ENC更新文件的程序
解密ENC更新文件的程序
使用基本许可证文件选择单元密钥的程序使用元许可证文件选择单元密钥12
JT/T 765.5—2016
7.8核查单元许可证文件的程序
7.9核实单元许可证EVC 校验和的程序7.10解密单元许可证中单元密钊的程序数字证书
8.1SA公开密钥和DS公开密钥的格式8.2自我签名密钥挤式·
8.3DS证书的格式规则..*.
8.4数字证书的创建程序..
数字签名
数字签名文件格式·
9,2ENC 数字签名文件格式
数字签名的创建程序
般要求
如缔ENC基本单元文件的程序,
10.3解密ENC基本单元文件的程序10.4加密EN史新文件的程序
10.5解密ENC更新文件的程序
10.6使用基本许可证文件选择单元缩钥的程序10.7使用元许可证文件选择单元密钥12
JT/T765《长江电子航道图制作规范》分为五个部分:第1部分:术语;
—第2部分:数据传输;
一第3部分:显示准则;
一第4部分:数据有效性检验;
一第5部分:数据保护。
本部分为JT/T765的第5部分。
本部分按照GB/T1.1-2009给出的规则起草。JT/T765.5—2016
本部分代替JT/T765.5一2009《长江电子航道图制作规范第5部分:数据保护》,与JT/T765.5—2009相比主要技术变化如下:一删除了原标准中的部分示例(见2009年版的6.4等),并将部分示例转化为文字叙述(见6.4等)。
本部分对应于国际海道组织(IHO)S-63《IHO数据保护方案》(IHODataProtectionScheme)。本部分与IHOS-63的一致性程度为非等效本部分由交通运输信息通信及导航标准化技术委员会提出并归口。本部分起草单位:长江航务管理局、长江航道局、大连海事大学。本部分主要起草人:但乃越、杜经农、朱业汉、杨大鸣、章娟、刘青、张娜、俞建林、万大彬、程大炜、赵德鹏、李源惠、宋良福、曹成、顾网林、李海、董华。本部分所代替标准的历次版本发布情况为:JT/T765.5-2009。1范围
长江电子航道图制作规范
第5部分:数据保护此内容来自标准下载网
JT/T765.5—2016
JT/T765的本部分规定了长江电子航道图数据保护总体框架、各参与方的交互程序、用户许可证单元许可证、数字证书、数字签名、加密等要求本部分适用于长江电子航道图制作、系统开发、设计和应用,其他内河电子航道图系统也可参照使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。JT/T765.1长江电子航道图制作规范第1部分:术语3术语和定义
JT/T765.1界定的术语和定义适用于本文件。4长江电子航道图数据保护总体框架4.1总体要求
4.1.1长江电子航道图数据保护方案规定了四类参与方,分别为系统管理员,数据服务商、设备制造商、数据用户。
4.1.2系统管理员为任何加入长江电子航道图数据保护方案的设备制造商分配一对唯一的制造商标识符(MID)和制造商密钥(MKEY)值,并将所有设备制造商的MID和M_KEY记录下来,形成设备制造商信息表。设备制造商为购买其产品的数据用户分配一个唯一的硬件标识符(HWID),并用自已的M_KEY将其加密后形成用户许可证,随产品一同提供给数据用户。4.1.3对于任何加入长江电子航道图数据保护方案的数据服务商,系统管理员向其提供设备制造商信息表,并保证表内容的及时更新。4.1.4数据用户需要购买数据服务商的电子航道图时,向其提供自已的用户许可证,数据服务商用单元密钥对电子航道图数据进行加密,并利用用户许可证中的HWID加密单元密钥,形成单元许可证,将电子航道图和单元许可证发送给数据用户。数据用户收到电子航道图和单元许可证后,利用自已用户许可证中的HW_ID对单元许可证解密,得到单元密钥,并用单元密钥对电子航道图进行解密。4.1.5为在上述保护过程中实现身份认证,采用数字证书的方式来进行签名认证。系统管理员创建自已的系统管理员数字证书,并将该证书发布给设备制造商、数据服务商和数据用户。数据服务商创建自已的数据服务商自我签名密钥文件(SSK)并提交给系统管理员,系统管理员核实SSK文件后,用自已的私有密钥对数据服务商公开密钥进行签名,生成数据服务商数字证书,并发布给数据服务商。数据服务商在向数据用户发送电子航道图前,先用自已的私有密钥对电子航道图签名,并和数据服务商数字证1
JT/T765.5—2016
书结合,形成电子航道图的签名文件,随电子航道图一起提供给数据用户。数据用户收到电子航道图签名文件后,利用系统管理员数字证书中的公开密钥来核实数据服务商证书,再利用数据服务商证书中的公开密钥来核实电子航道图的签名,如果正确,则电子航道图可以便用,否则因不能确认来源面拒绝使用。
4.2各参与方的职责
4.2.1系统管理员
系统管理员(SA)应根据需要维护策略的正常运行,制作并发布方案根证书,接受设备制造商(OEM)的申请,并为符合要求的OEM创建M_ID和MKEY信息。SA还应为数据服务商(DS)发放数字证书,在电子航道图发布过程中实现身份认证。SA的主要职责是:a)
确认OEM发送的M_ID、M_KEY申请表格;确认DS发送的数据服务商申请表格;b)
c)与OEM签订协议书;
与DS签订协议书:
为每个OEM创建一一对应的M_ID和M_KEY;e)
为每个DS创建数据服务商证书;f)
创建系统管理员数字证书以提供给电子航道图显示与信息系统(ECDIS)用户;g)
负责管理各种文档,并将系统成员所需文档发送给成员。4.2.2数据服务商
数据服务商(DS)应负责加密和签署电子航道图(ENC)信息,通过网络或者数据光盘的形式为用户提供更新ENC服务。每个长江电子航道图数据提供商应符合国家相关的资质规定,并经SA认证通过具有向用户发布数据的资格。DS的主要职责是:向SA申请发布ENC数据的资格;
b)与SA签署协议,由SA向其分配M_ID和M_KEY;创建自已的SSK证书文件:
鉴定ENC请求用户的合法性;
创建加密ENC文件所需的单元密钥;e)
创建单元许可证文件和元数据文件:压缩、加密以及签署ENC并发送给用户;产生单元许可证文件和元数据文件,发送给请求用户;h)
管理加密ENC的密钥以及其他用户资料等文档文件。4.2.3设备制造商
设备制造商(OEM)主要负责开发一套电子航道图处理系统(EPS),该系统按照本规范要求具备对ENC数据的保护功能。同时,还具备处理保护的ENC数据,以便在ECDIS平台显示正确的电子航道图数据信息的能力。为了加入长江电子航道图数据保护方案,相应的OEM应完成方案的要求,取得资格认证后才能加人本保护方案,并且获取MID和MKEY来实现他们的系统,提供支持该安全方案的船舶导航产品。OEM的主要职责是:a)申请制造商资格;
b)与SA签署协议;
c)为每台设备创建HW_ID;
d)将每个HW_ID记录在HW_ID登记表中,并且进行管理;e)开发符合本规范要求的EPS系统;f)为电子航道图显示与信息系统(ECDIS)创建用户许可证文件。4.2.4数据用户
JT/T765.5—2016
数据用户(DC)是电子航道图信息的使用者,从DS那接收加以保护的ENC信息。ECDIS用户负责鉴别ENC的数字签名和按照保护方案定义的程序对ENC进行解密。DC的主要职责是:a)从SA网站下载系统管理员数字证书,用以鉴别DS的合法性;向DS提供用户许可证文件,以获得新的ENC文件;b)
管理多个DS各自的用户许可证文件。c)
各参与方的交互程序
5.1SA创建自己的数字证书
SA创建自已的私有密钥和公有密钥,使用私有密钥对公有密钥进行签名,将签名算法的返回值与公有密钥结合,创建SA数字证书。5.2DS加入数据保护体系的基本程序DS加入数据保护体系的基本程序如下:a)DS创建自己的公开密钥、私钥对;b)DS创建SSK文件
DS填写“长江电子航道图数据保护系统数据服务商证书请求表”;c)
DS将申请表、SSK文件以及数据服务商公开密钥文件发送给SA;e
SA通过电话、电子邮件等方式对申请表格和SSK文件的来源等进行确认:SA核实SSK文件的格式是否符合本规范要求;f)
SA利用DS发送的公开密钥文件核实SSK文件:g
如果对SSK文件的鉴别合法,且该DS符合国家相关资质要求,SA创建DS证书,否则,给请求的DS发出错误信息。
5.3OEM加入数据保护体系的基本程序OEM加入数据保护体系的基本程序如下:a)OEM完成M_ID/M_KEY申请表的填写(主要包括OEM的详细信息以及请求所需文件);b)SA核实M_ID/M_KEY表格第一部分(主要核实设备制造商对表格的填写是否完整);SA核实OEM是否签署“长江电子航道图数据保护协议书”;c
SA核实OEM开发的系统是否符合本规范标准:SA核实OEM没有M_ID/M_KEY对(主要确认该申请的OEM未曾有过M_ID/M_KEY,即表e)
明申请者是新的OEM);
SA创建M_ID/M_KEY,并且存储到M_ID/M_KEY登记表内;f)
SA将M_ID/M_KEY发送给OEM,同时也将这个新的M_ID/M_KEY发送给系统内所有的DSg)
5.4DC向OEM购买新设备的程序
DC按如下程序向OEM购买设备:
a)DC向OEM递交标识身份的用户许可证文件(主要是申请ENC文件):3
JT/T765.5—2016
b)OEM生成一份包含DC硬件设备标识HW_ID和M_ID信息的用户许可证文件:OEM将研制生产的EPS系统和新生成的用户许可证文件以及ECDIS系统一起发送给DC。c
5.5SA与DC的交互程序
DC按如下程序从SA处获得并验证数字证书:a)DC从SA获取SA数字证书:
b)对SA数字证书格式进行核对;利用SA公开密钥鉴别SA数字证书(比较数字证书,包括SA公开密钥与从SA网站获得的公c)
开密钥是否一致)。
5.6DC购买并使用DS提供的电子航道图的程序DC购买并使用DS提供的电子航道图的程序如下:a)DC向DS递交用户许可证以申请电子航道图文件:b)DS从用户许可证中获得M_ID,并查对从SA那里得到的M_ID/M_KEY登记表,找到与该M_ID对应的M_KEY;
DS使用M_KEY解密用户许可证,获得DC的HW_ID,用来加密单元密钥;c)
DS生成单元许可证文件;
DS用zip算法压缩电子航道图单元数据,并用单元密钥加密压缩后的数据;e)
DS利用自已的私有密钥对加密后的电子航道图单元数据进行数字签名;f)
DS将加密后的电子航道图单元数据、单元许可证文件和数字签名文件一起发送给DC;g)
DC核对DS发送的相关文件(主要包括签名文件是否包含签名和证书对,核实签名文件是否h)
符合本规范要求的格式);
DC鉴别签名文件中的DS证书是否合法。如果合法,从签名文件中提取DS公开密钥;1)
DC鉴别电子航道图单元数据的签名文件:j)
DC通过系统软件提取自已机器上的HW_ID来解密单元许可证,得到电子航道图数据文件的单元密钥,利用系统解密数据并使用。6用户许可证
6.1M_ID的格式
M_ID是4位长度的16进制数字(两字节),以ASCII码表示。SA应向每个加入长江电子航道图数据保护体系的设备制造商分配一对M_ID/M_KEY。6.2M_KEY的格式
M_KEY是10位长度的16进制数字(五字节)。6.3HW_ID的格式
HW_ID是五字节的十进制数字,由OEM分配给购买其系统的DC。OEM应为每一个系统指定一个唯一的HW_ID,建议HW_ID以不连续的方式来分配。在用户许可证中HW_ID以加密的形式存在。HWID用M_KEY作为加密密钥,利用Blowfish算法进行加密。加密以后的HW_ID是八字节长的十进制数,被转化成16位长度的16进制数,以ASCII码表示。4
6.4用户许可证的格式
JT/T765.5—2016
用户许可证为28字符长度,用ASCII文本书写,其格式和字段长度要求见表1。表1
加密后的HW_ID
16位16进制数
校验和
8位16进制数
4位16进制数
表1中每个字段中的16进制数均以ASCII码表示,其中任何字母字符应大写。用户许可证中的校验和是用CRC32算法对加密后的HW_ID进行散列计算后得到。该散列计算结果被转化为8位16进制数,示例:
用户许可证的最终表现形式为:73871727080876A07E450C043031。6.5用户许可证的创建程序
用户许可证的创建程序由系统或者应用程序提供商执行,生成的用户许可证发送给DC,用作DC请求单元许可证时的自身标识。用户许可证和系统一起交给终端用户。用户许可证的创建过程如下:a)
MKEY作为密钥,利用Blowfish算法对HW_ID进行加密;将结果转换成16位16进制字符串,每一个字母都应大写表示;利用CRC32算法散列上面的16位16进制字符串;将c)输出的结果转化为8位16进制字符串,每一个字母都应大写表示,即CheckSum(校验和):将d)输出的结果附加在b)的输出结果;将MID转化为4位16进制字符串,任何字母应以大写表示:将f)的输出结果附加到e)的输出结果的后面即用户许可证。示例:
用户许可证的标识符及内容参见表2,创建程序见表3。表2
标识符
步骤a)的输人
步骤a)的输出
步骤c)的输入
步骤c)的输出
步骤e)的输出
用户许可证
3132333438
3938373635
3132333438和3938373635
八字节
73871727080876A0
7E450C04
73871727080876A07E450C04
73871727080876A07E450C043031备注
16进制表示的HW_ID
16进制表示的MKEY
16进制表示的MID
16进制表示的HW_ID和M_KEY
不可打印
这是步骤a)输出的16进制字符串表现形式。这个字符串从左到右输入给散列算法,例如73、87、17····
用16进制表示的CRC32散列结果
将CRC32散列结果附加在加密后的HWID后
JT/T765.5—2016
6.6用户许可证的解密程序
用户许可证的解密程序由DS的系统运行。用户许可证的结构在6.4中定义。用户许可证的解密程序如下:
从用户许可证中提取M_ID(4位16进制字符);b)
从用户许可证中提取校验和(CheckSum,为8位16进制字符);c)
利用CRC32算法散列加密的HW_ID(用户许可证中前16位字符);比较b)和c)的输出,如果相同,则该用户许可证是合法的。如果不同,则该用户许可证是不合法的,从而不能获得相应的HWID如果用户许可证是合法的,把这个加密的HWID转换成八字节:将MKEY作为解密密钥,利用Blowfish算法解密这个加密的HW_ID,所得结果就是HW_ID。f)
示例:
用户许可证的解密程序参见表4和表5。表4
标识符
用户许可证
步骤a)的输出
步骤b)的输出
步骤c)的输入
步骤c)的输出
步骤f)的输出
单元许可证
7.1一般要求
73871727080876A07E450C0430313938373635
7E450C04
73871727080876A0
7E450C04
3132333438
16进制的M_KEY
提取的M_ID
提取出来的校验和
字节从左到右输出给散列函数,例如7387.17
从加密的HW_ID中提取出来的校验和16进制表示的HW_ID
7.1.1电子航道图单元数据在发布前应由DS使用单元密钥进行加密,该单元密钥是与该电子航道图单元数据唯一对应的。DC应获得这个密钥才能解密数据。这个单元密钥由DS以加密表格的形式一一单元许可证提供给DC。一个单元许可证文件可以包括一个或者多个电子航道图的单元密钥。7.1.2单元许可证的发布针对指定的HWID,在安装系统之间是不可转换的。加密方案支持能在所有客户之间相互传送的普通加密CD形式。7.1.3DS通过其得到的用户许可证获得用户的HW_ID,通过用户的HW_ID加密电子航道图单元密钥从而形成单元许可证,确保单元许可证不能在DC之间进行传送。终端用户利用其HWID对单元许可证进行解密,以便获得解密电子航道图所需的单元密钥。7.1.4发布单元许可证需要两个文件:a)包含解密电子航道图所需本质信息的基本许可证文件,在7.5中定义;6
b)包含易于数据管理和解密的补充信息的元许可证文件,在7.6中定义。JT/T765.5—2016
7.1.5客户系统应负责管理来自多个DS的权证文件。来源于某个DS的权证文件不能用来解密来自另一个DS的电子航道图。
7.1.6二个单元许可证包括两个加密的单元密钥,即包含当前版本电子航道图解密密钥的单元密钥1(ECK1),以及用作下一版本电子航道图单元的解密密钥ECK2。单元许可证里面的ECK2使得DS能周期性地改变用于电子航道图下一版本的单元密钥,而无须对其他DC发布新的单元许可证。7.1.7除了这些密钥以外,单元许可证还包括过期日期(这个日期之后的更新文件不能使用)和单元标识(便于用户在有好儿个单元和权证文件的情况下,系统能够将两者相匹配)。7.1.8终端用户将单元许可证里面的过期日期与需要解密的电子航道图单元进行比较,如果需要解密的电子航道图单元或者更新文件的生产日期在许可证的过期日期之后,系统将不会使用单元许可证来解密数据,以防止用户使用过期的电子航道图单元文件或者更新文件。7.1.9电子航道图的基本单元或更新文件的发布日期编码包含在电子航道图数据集文件的DSID-ISDT子字段里。这些数据文件总是加密的,除非已经解密,否则无法得到发布日期。为了提供一种获得发布日期而不需要解密这些电子航道图文件的简便机制,DSID-ISDT学段的内容应被复制到数据集所含文件CATALOG.031的CATD-COMT字段中,以保障系统能快速检查这个电子航道图信息是否在许可证过期日期之后,而无须解密电子航道图。示例:
CATALOG.031文件中的CATD-COMT编码如下:VERSI0N=1.0,EDTN=10,UPDN=0,UADT=20030224,ISDT=200302247.1.10单元许可证以ASCII文本的形式书写,任何字母字符都应大写表示,其格式和字段长度见表6。
航道图单元名称
8个字母或数字
示例:
过期日期
8个数字
单元许可证中各字段数据参见表7。航道图单元名称
N04D0613
过期日期
20000830
加密后的CK1
16位16进制数
加密后的单元密钥1
(ECK1)
BEB9BFE3C7C6CE68
加密后的CK2
16位16进制数
加密后的单元密钥2
(ECK2)
B16411FD09F96982
加密后的校验和
16位16进制数
加密校验和
795C77B204F54D48
单元许可证最终的表现形式为:NO4D061320000830BEB9BFE3C7C6CE68B16411FD09F96982795C77B204F54D487.2电子航道图单元名称与过期日期的格式电子航道图单元名称是八字节的字母数字串,遵循JT/T765.2—2016附录B中所定义的单元文件命名规则。
示例:
如表7所示,航道图单元名称表示为:N04D0613。过期日期的格式应为:年月日(YYYYMMDD)。示例:
如表7所示,过期日期2000年8月30日表示为:20000830。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。