本系列标准定义了一组用于辅助在应用层协议中提供安全服务的通用设施。本标准定义了由安全交换服务素(SESE)提供的协议。该SESE是一个允许安全信息通用以支持在应用层内提供安全服务的ASE。 GB/T 18237.3-2000 信息技术 开放系统互连 通用高层安全 第3部分：安全交换服务元素(SESE)协议规范 GB/T18237.3-2000 标准下载解压密码：www.bzxz.net

ICS35.100.01
中华人民共和国国家标准
GB/T18237.3—2000
idtIS0/IEC11586-3：1996
信息技术开放系统互连
通用高层安全
第3部分：安全交换服务元素（SESE）协议规范
Information technologyOpen Systems Interconnection-Generic upper layers security-Part 3:Security ExchangeService Element (SESE)protocol specification2000-10-17发布
2001-08-01实施
国家质量技术监督局
GB/T18237.3—2000
iiKAoNhiKAca-
本标准等同采用国际标准ISO/IEC11586-3：1996《信息技术开放系统互连通用高层安全：安全交换服务元素(SESE)协议规范》。GB/T18237在《信息技术开放系统互连通用高层安全》的总标题下，目前包括以下几个部分：第1部分（即GB/T18237.1)：概述、模型和记法第2部分（即GB/T18237.2）：安全交换服务元素（SESE）服务定义第3部分（即GB/T18237.3)：安全交换服务元素(SESE）协议规范第4部分（即GB/T18237.4)：保护传送语法规范附录A和附录B是标准的附录。
本标准由中华人民共和国信息产业部提出。本标准由中国电子技术标准化研究所归口。本标准起草单位：中国电子技术标准化研究所。本标准主要起草人：郑洪仁、张莺。
GB/T18237.3—2000
ISO/IEC前言
ISO（国际标准化组织)和IEC（国际电工委员会）是世界性的标准化专门机构。国家成员体（他们都是ISO或EC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO和IEC的各技术委员会在共同感兴趣的领域内进行合作。与ISO和IEC有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术，ISO和IEC建立了一个联合技术委员会，即ISO/IECJTC1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准，至少需要75%的参与表决的国家成员体投票赞成。免费标准bzxz.net
国际标准ISO/IEC11586-3是由ISO/IECJTC1\信息技术”联合技术委员会的SC21\开放系统互连、数据管理和开放分布式处理”分技术委员会与ITU-T共同制定的。等同文本为ITU-T建议X.832。ISO/IEC11586在《信息技术开放系统互连通用高层安全》总标题下，目前包括以下6个部分：第1部分：概述、模型和记法
-第2部分：安全交换服务元素(SESE)服务定义第3部分：安全交换服务元素(SESE)协议规范第4部分：保护传送语法规范
一第5部分：安全交换服务元素协议实现一致性声明(PICS)形式表一第6部分：保护传送语法协议实现一致性声明(PICS)形式表附录A和附录B构成为本标准的一部分。GB/T18237.3—2000
iiKAoNniKAca-
本标准是系列标准的一个部分，这个系列标准给出了一组设施，以帮助构造支持提供安全服务的高层协议。本系列标准的各部分如下：一第1部分：概述、模型和记法；第2部分：安全交换服务元素服务定义；一第3部分：安全交换服务元素协议规范；一第4部分：保护传送语法规范，一第5部分：安全交换服务元素PICS形式表，一第6部分：保护传送语法PICS形式表。本标准为该系列标准的第3部分。V
中华人民共和国国家标准
信息技术开放系统互连通用高层安全第3部分：安全交换服务元素（SESE）协议规范
Information technologyOpen Systems Interconnection-Generic upper layers securityPart 3:Security ExchangeService Element (SESE)protocol specification1范围
1.1本系列标准定义了一组用于辅助在应用层协GB/T18237.3—2000
idtISO/IEC11586-3:1996
提供安全服务的通用设施。它们包括：a）一组记法工具，这组工具用来支持抽象语法规范中的选择字段保护需求的规范，以及支持安全交换和安全变换规范，
b）应用服务元素（ASE）的服务定义，协议规范和PICS形式表，它们支持在OSI的应用层内提供的安全服务；
c）安全传送语法的规范和PICS形式表，这些语法与支持应用层中的安全服务的表示层相关。1.2本标准定义了由安全交换服务元素(SESE)提供的协议。该SESE是一个允许安全信息通信以支持在应用层内提供安全服务的ASE。2引用标准
下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T17965—2000信息技术开放系统互连高层安全模型（idtISO/IEC10745：1995）GB/T18237.2—2000信息技术开放系统互连通用高层安全第2部分：安全交换服务元素(SESE）服务定义（idtISO/IEC11586-2：1996)ISO/IEC8824-2:1995
信息技术抽象语法记法1（ASN.1）：信息客体规范ISO/IEC8824-4：1995信息技术抽象语法记法1（ASN.1)：ASN.1规范的参数化3定义
本标准采用GB/T17965中定义的下列术语：安全交换securityexchange
安全交换项securityexchangeitem4缩略语
ACSE联系控制服务元素
APDU应用协议数据单元
ASE应用服务元素
国家质量技术监督局2000-10-17批准2001-08-01实施
ASO应用服务客体
OSI开放系统互连
PICS协议实现一致性声明
SEI安全交换项
SEPM安全交换协议机
安全交换服务元素
5协议概述
5.1服务措施
GB/T18237.3—2000
本规范中定义的协议提供了GB/T18237.2中定义的服务。这些服务如下：SE-TRANSFER
SE-U-ABORT
SE-P-ABORT
5.2下层服务的用法
非证实型
非证实型
提供者发起型
iiKAoNhiKAca-
这种SESE协议定义了一组APDU，根据有效的ASO上下文或应用上下文规则，其中每一个APDU可能映射到运送用户数据的任何表示层服务，或者其可以被嵌入进或拼接到其他任何应用PDU。
第8章定义了一些到表示服务和ACSE的有用映射。6规程的元素
6.1使用的APDU
SESE协议规定了下列APDU：
SE-TRANSFERAPDU(SETR）
SE-U-ABORT APDU(SEAB)
SE-P-ABORTAPDU(SEPA)
6.2传送规程
这种规程由请求者SEPM用来发起要求传送一个或多个安全交换项的安全交换。这种规程也可以由请求者SEPM或响应者SEPM用来传送由请求者启动的另外的安全交换项。旦收到SE-TRANSFERrequest原语，SEPM就保留安全交换标识符，并生成一个SE-TRANSFERAPDU(SETR)。
旦收到SE-TRANSFERAPDU（SETR），SEPM就保留安全交换标识符，并发出SE-TRANSFERindication原语。
如果安全交换属于“交替”类，并且该交替不遵循预期的顺序，则SEPM生成SE-P-ABORTAPDU(SEPA)，并发出SE-P-ABORTindication原语。6.3用户发起型天折规程
这种规程由一个SESE用户使用以向对等的SESE用户和SEPM指出差错已出现，并且在进程中的任何安全交换都被非正常终止。此外，它可能会导致具有传送中信息丢失的ASO联系的非正常释放。它是由SE-U-ABORTrequest原语发起的。一旦收到SE-U-ABORTrequest原语，SEPM就生成SE-ABORTAPDU(SEAB）。旦收到SE-ABORTAPDU（SEAB），SEPM就发出SE-U-ABORTindication原语。6.4提供者发起型天折规程
这种规程由SEPM使用以向SESE用户指出差错已出现，并且在进程中的任何安全交换都被非正常终止。此外，它可能导致在传送中出现信息丢失的ASO联系的非正常释放。2
GB/T18237.3—2000
旦检测到差错，SEPM就发出SE-P-ABORTindication原语，并生成SE-P-ABORTAPDU(SEPA)。如果差错严重到要求终止ASO联系，则SEPAAPDU被映射到ASO联系天折服务。在收到具有SEPAAPDU的ASO联系天折指示时，SEPM便发出具有严重性指示符置位的SE-P-ABORTindication。
引起SE-P-ABORT生成的差错条件具有相关的问题代码，它可以向两端指示。指示的问题分为如下几类：
a）一般问题一一不限于任一特定的APDU类型；b）传送问题一一由收到SE-TRANSFERAPDU引起的问题；c）天折问题一一由收到SE-ABORTAPDU引起的问题。特定的差错条件，以及联系的问题代码叙述如下：6.4.1—般问题
无效APDU一一APDU的结构和/或编码与SETR、SEAB或SEPAAPDU都不符。6.4.2传送问题
a）重复的调用标识符一一与另一个活跃的安全交换调用正在使用的标识符相同的调用标识符；b）不可识别的安全交换一一所标识的安全交换对这个ASO上下文无效；c）错误类型的项一
-SEI的类型与客体类定义中的类型不符，d）不适当的调用标识符一一该调用标识符不属于为这个ASO上下文规定的标识符；e）交替顺序错一一所收到的SETR没有遵循安全交换“交替”类的顺序。6.4.3天折问题
a）不可识别的调用标识符一一调用标识符未标识出活跃的或刚刚完成的安全交换传送，b）非预期天折一所标识的安全交换未生成这个安全交换项的天折；c）不可识别的差错一所标识的安全交换未生成这种差错，d）非预期的差错一一所标识的安全交换未生成这个安全交换项的差错，e）错误类型的差错参数一一差错参数的类型与该差错定义的类型不符。7SESEAPDU的结构和编码
通用SESEAPDU的参数化数据类型是使用ASN.1（见ISO/IEC8824-4)在7.1中规定的。支持特定安全交换集构造SESE抽象语法的方法在7.2中描述。7.1通用APDU规范
下面的参数化APDU规范支持用于特定的SESE的抽象语法定义，且该SESE支持使用本系列标准第1部分中的规范框架定义的任一组安全交换。在下面，参数ValidSEs标识了被支持的一组安全交换。参数InvocationIdSet定义了一些可用值，这些值用来标识可以同时活跃的不同安全交换调用，并且用来使随后的响应和差错指示与现行安全交换调用相关。如果这种相关在某些实现中是不需要的（例如，不同的安全交换调用不会重叠），则InvocationIdset应被置成设定的值NoInvocationId。SeseAPDUs (joint-iso-ccitt genericULS(20)modules(1)seseAPDUs(6))DEFINITIONSAUTOMATICTAGS：:=BEGIN
全部EXPORTS-
IMPORTS
Notation
FROMObjectIdentifiers (joint-iso-ccitt genericULS(20)modules(1)objectIdentifiers(0))3
dirAuthenticationTwoWay
GB/T18237.3—2000
FROMGulsSecurityExchanges(joint-iso-ccittgenericULS(20)modules(1)gulsSecurityExchanges(2))SECURITY-EXCHANGE,SE-ERROR0
FROMNOTATION notation;
-iiKAoNhiKAca-
SESEapdus(SECURITY-EXCHANGE:ValidSEs,InvocationId：InvocationIdSet)::CHOICE
se-transfer
se-u-abort
se-p-abort
SETransfer((ValidSEs),(InvocationIdSet)),SEUAbort((ValidSEs),(InvocationIdSet)),SEPAbort ((ValidSEs),(InvocationIdSet))SETransfer(SECURITY-EXCHANGE;ValidSEs,InvocationIdInvocationIdSet)::SEQUENCE
seIdentifier
SECURITY-EXCHANGE.&SE-Identifier(ValidSEs))它标识出由特定SESE抽象语法
所支持的安全交换之
SECURITY-EXCHANGE.&SE-Items.&itemIditemldentifier
（(ValidSEs)(@seIdentifier))，它标识出由“seldentifier”指出的安全交换的安全交换项之
seItem
invocationId
startFlag
endFlag
SECURITY-EXCHANGE.&SE-Items.&ItemType((ValidSEs)(@seIdentifier，@itemIdentifier))，InvocationId(InvocationIdSet)(CONSTRAINEDBY一一如果起始标志不为真，则它必须与活跃安全交换的invocationId相同）
DEFAULT noInvocationId,
BOOLEANDEFAULTFALSE，
仅当作为传送安全交换的第一个安全交换项时才设置此字段。
BOOLEANDEFAULT FALSE
当作为传送安全交换的最后一个安全交换项时设置此字段。需要提供需求n次交换的这些机制，其中n是事先未知的一
SEUAbort(SECURITY-EXCHANGE:ValidSEs,InvocationId:InvocationIdSet)::SEQUENCE
InvocationId
InvocationId(InvocationIdSet)(CONSTRAINEDBY
一它必须与活跃或刚完成的
安全交换的invocationId相同——！）DEFAULTnolnvocationId，
ItemIdentifier
SECURITY-EXCHANGE.&SE-Items.&itemId((ValidSEs.&SE-Items))OPTIONAL,这个成份仅当在收到SETransferAPDU之后一生成天折时才出现，
errors
GB/T18237.3—2000
SEQUENCEOFSEerror((ValidSEs))OPTIONAL需要处理多个差错代码——
SEPAbort (SECURITY-EXCHANG:ValidSEs,InvocationId:InvocationIdSet)::-SEQUENCE
invocationId
itemIdentifier
problemCode
InvocationId(InvocationIdSet)OPTIONALSECURITY-EXCHANGE.&SE-Items.&itemId((ValidSEs，&SE-Items))OPTIONAL，这个成份仅当在收到SETransferAPDU之后生成天折时才出现，
ProblemCode)
INVOCATIONId：：=CHOICE(
present
absent
INTEGER，
noInvocationId InvocationId::absent:NULLNoInvocationIdInvocationId：：=(noInvocationId)SEerror(SECURITY-EXCHANGE:ValidSEs/：=SEQUENCEerrorCode
SE-ERROR.&errorCode
（(Errors((ValidSEs))))OPTIONAL，errorParameterSE-ERROR.&ParameterType((Errors((ValidSEs))(errorCode))oPTIONAL)Errors (SECURITY-EXCHANGE:ValidSEs) SE-ERROR::-{ValidSEs. &SE-Items.&Errors)
ProblemCode:CHOICE
general
transfer
GeneralProblem,
TransferProblem
AbortProblem)
GeneralProblem:-ENUMERATED(
invalidAPDU(0))
TransferProblem：：-ENUMERATEDduplicateInvocationId(0)，
unrecognizedSecurityExchange(1)，mistypedItem(2)，
inappropriateInvocationId(3)alternatingSequenceError(4))AbortProblem::-ENUMERATED(
unrecognizedInvocationId(0),abortUnexpected(1)，
unrecognizedError(2)，
unexpectedError(3)，
mistypedErrorParameter(4))
7.2抽象语法的构造
用于支持给定安全交换集的SESE的抽象语法可使用ISO/IEC8824-2附录B中定义的5
GB/T18237.3—2000
ABSTRACT-SYNTAX信息客体类来规定。-iiKAoNniKAca-
例如，为了规定支持本系列标准第1部分的附录D和附录I中定义的其中两种安全交换的SESE抽象语法，对于不要求调用标识符的实现，应使用下列记法：AccCtl-Authentication-Abstract-SyntaxABSTRACT-SYNTAX::
(SESEapdus)
(boundAccessControlCert|dirAuthenticationTwoWay)，NoInvocationId)
IDENTIFIEDBY(.-AbstractSyntaxObjectIdentifier...)8到下层服务的映射
8.1概述
SESE协议定义了一组APDU，根据有效的ASO上下文或应用上下文的规则，其中每一个APDU可能映射到运送用户数据的任何表示层服务，或者其以嵌入进或拼接到其他任何APDU。除非在ASO上下文（或应用上下文）定义中另有规定，当SETR映射到P-DATA服务时，则具有严重性指示符置位的SEAB或具有严重到要求非正常终止联系的差错的SEPA被映射到A-ABORT服务。
如果应用上下文规范中业已包括SESE，则在这个应用上下文中既不要求，也不阻止包括ACSE鉴别功能单元。
SESE不能直接使用其他ASE，但只能借助于控制功能间接使用其他ASE（像在应用层结构中指出的那样）。已规定的一些有用的映射例子如下，8.2到ACSE服务的映射
8.2.1SE-TRANSFER到A-ASSOCLATE的映射当最前面一个或两个安全交换传送与联系建立一同出现时，则SE-TRANSFERAPDU可被映射到A-ASSOCIATErequest/indication的鉴别值字段或用户信息字段。当SE-TRANSFERAPDU是应答A-ASSOCIATErequest/indication运送的SE-TRANSFERAPDU时，则前面的SE-TRANSFERAPDU可被映射到A-ASSOCLATEresponse/confirm的鉴别值字段或用户信息字段。
当SE-TRANSFERAPDU被映射到A-ASSOCIATE的鉴别值字段时，则应使用EXTERNAL选项，目不应使用鉴别机制名字段。8.2.2附加SE-TRANSFER的映射
当与联系建立一同出现的安全交换要求传送两个以上的安全交换项时，则第三个和第三个以上的传送（SE-TRANSFER）可被映射到P-DATA。在这种情况下，该应用上下文可能具有这样一个规则，那就是，即使这一联系在前两个传送之后被成功地建立起来，但直到成功地完成安全交换时才可由其他ASE使用。
一致性
声称实现本标准中规定的规程的系统应符合9.1到9.3中的各项要求。9.1声明要求
实现者应声明如下内容：
a）所提供的一组安全交换；
b）对于所提供的每一个安全交换，该系统是否能发起该安全交换和/或响应由另一端发起的安全交换，
GB/T18237.3—2000
c）能同时生成/活跃的调用标识符的范围；d）该系统是否能支持安全交换的“交替”和/或“任意”类。9.2
静态要求
该系统应：
a）对一个或多个安全交换起发起者和/或响应者的作用；b）（至少)要支持通过把基本ASN.1编码规则施用于第7章中规定的ASN.1而进行的编码，以达到交换SESEAPDU的目的。
动态要求
该系统应遵守第6章中规定的全部规程。7
A1概述
GB/T18237.3—2000
附录A
（标准的附录）
SEPM状态表
-iiKAoNhiKAca-
本附录以状态表形式定义了定全交换协议机(SEPM）。这种状态表示出了SEPM状态、协议中的入事件、采取的动作，以及与SEPM结果状态之间的相互关系。该SEPM状态表没有建立SEPM的形式定义。它包含比第6章中规定的规程元素更明确的规范。这个附录与第6章同等重要。该规范中的任何一个冲突都应作为一个差错来对待。本附录包括下列几种表：
a）表1规定了每个入事件的缩写名、源和名称。这些源是：1）SEPM服务用户(SE用户）
2）对等SEPM(SE对等)。
b）表2规定了每个出事件的缩写名、目标和名称。这些目标是：1)SEPM服务用户(SE用户）
2）对等SEPM(SE对等）。
c）表3规定了所使用的谓词。
d）表4规定了每个状态的缩写名和说明。e）表5规定了使用上述各表缩编而成的SEPM状态表。A2
入事件（状态表中的行）和状态（状态表中的列）的交叉处形成一个单元。在状态表中，空白单元表示入事件与状态的组合没有对SEPM进行定义。非空白单元表示入事件和状态已对SEPM进行了定义。这种单元应包含一个动作列表（必备的和或有条件的)。
表A1入事件列表
SE-TRANSFERreq
SE-U-ABORTreq
无效APDU
SE用户
SE对等
SE用户
SE对等
SE对等
SE对等
SE-TRANSFERreq原语
SE-TRANSFERAPDU
SE-U-ABORTreq原语
SE-U-ABORT APDU
SE-P-ABORT APDU
无效APDU
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。