上海海关电子放行信息互联规范V10.doc

附件 上海海关放行电子信息 安全认证规范 中华人民共和国上海海关 2013年10月 目 录1 引言 1 1.1 背景 1 1.2 编写目的 1 1.3 范围 1 1.4 术语和定义 1 1.5 符号和缩略语 2 1.6 参考资料 2 1.7 引用标准 2 2 系统简介 3 2.1 系统组成结构 3 2.2 数字签名及验证 3 3 系统认证说明 4 3.1 通信方式 4 3.2 放行信息 4 3.2.1 放行信息生成 4 3.2.2 放行信息报文内容 4 3.3 接收方信息处理 4 3.4 认证安全说明 5 3.4.1 数据交换安全机制 5 3.4.2 数字签名机制 5 3.4.3 验签业务机制 5 4 签名验证服务器安全需求 5 4.1 密码设备 5 4.2 管理要求 6 4.2.1 管理员管理 6 4.2.2 设备操作管理 6 5 签名验证服务器接口需求 6 5.1 管理工具 6 5.2 消息接口 6 附录A 放行信息签名报文格式 7 附录B 海运放行信息报文格式 7 附录C 空运放行信息报文格式 8 修改记录版本编号 变化状态 简要说明 日期 批准日期 A 新建 2013.10.10 说明：[C]-创建；[M]-修改；[A]-增加；[D]-删除； 引言 背景 为提高效率，更好地履行职责，促进服务水平，进一步支持发展，。编写目的 本规范目的指导系统参与者的开发人员依据规范，开发对接的相关业务系统。 本规范的期望读者包括：系统参与者的系统分析员、程序员、测试人员、业务主管及其他相关人员。 范围 术语和 H2010通关系统 接收企业报关申请后对其报关单证进行审核放行处理，通过后将相关信息发送至海关电子放行数据生成系统。 接收H2010通关系统的相关信息，将其整合成放行电子信息，放行信息需要加注数字签名。 海关电子放行数据交换系统 接收来自海关的放行电子信息并转发给各放行信息接收方。 放行管理系统 指各放行信息接收方的放行管理系统，该系统由放行信息接收方自行开发管理，接收通过海关电子放行数据交换系统转发的海关放行电子信息，并验证其数字签名。 数字证书 由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包含有公开密钥拥有者的信息、公开密钥、有效期、签名者信息、签名算法和CA的数字签名。 数字签名 可靠电子签名的一种技术实现形式，是以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。 数字签名验证 数字签名验证是验证者使用签名者的公开密钥对数字签名进行验证的过程。 签名验证服务器 国家密码管理局许可的专用硬件密码产品，又名签名验签服务器，实现密钥的生成和存储、证书的存储，实现数字签名和验证，提供加密及解密服务。略语 参考资料 序号 名称 GM/T 0009-2012 《SM2密码算法使用规范》 GM/T 0010-2012 《SM2密码算法加密签名消息语法规范》 GM/T 0015-2012 《基于SM2密码算法的数字证书格式规范》 GM/T 0018-2012 《密码设备应用接口规范》 GM/T 0020-2012 《证书应用综合服务接口规范》 国家密码管理局 PKCS#1: RSA密码学规范 PKCS#7: 加密消息语法标准 RSA 《》 国家密码管理局 《关于做好公钥密码算法升级工作的通知》﹝2011﹞50号 B/CP q1.0-2013《签名验签设备规范》 上海市数字证书认证中心 SSL VPN 技术规范 国家密码管理局 IP Sec VPN技术规范 国家密码管理局 引用标准 GB/T 8567-2006《计算机软件文档编制规范》，该标准由中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会2006年3月14日发布。 系统简介 系统组成结构 系统组成结构示意图如下： 图-1 系统架构图 数字签名及验证 所有的海关放行电子信息必须要采用数字签名保证数据的完整性和抗抵赖性。 上海海关发送放行电子信息前，需加编数字签名，放行信息接收方接收到海关放行电子信息后，需要验证数字签名。对于各放行信息接收方，需根据自身业务量情况选择合适的签名验签技术实现方式，如采用加密机或签名验签服务器或USB　KEY等。 系统说明 方式 系统与 放行信息 放行信息生成 报关单证在H2010通关系统中完成审批放行操作后，海关生成加签的放行电子信息报文发送至上海电子口岸平台的电子放行信息数据交换系统， 电子放行信息数据交换系统通过报文验签后将加签报文分发至相应的放行信息接收方用户。 放行信息报文内容 为报文采用XML格式描述