中国人民建设银行业务网间交易报文验证代码(MAC)的算法(试行)
建设银行
中国人民建设银行业务网间交易报文验证代码(MAC)的算法(试行)
建设银行
本算法等同采用ISO9807和ISO8731-1。
一、主题内容
报文验证代码字段是在报文发送者和接收者之间,对报文始发源和内容的有效性进行验证的字段。由所有位元表的最后位元,即比特位第64位或128位表示。建设银行业务网间交易中报文验证代码(MAC),遵照ISO9807《银行业务及其相关金融服务——报文验证要求》
的要求,采用ISO8731-1《银行业务——已核准的报文验证算法第一部分DEA》产生。
二、应用指南
根据ISO8731-1中4.2认证元的要求和建设银行网间交易格式的定义,建设银行业务网间交易格式中参加MAC验证的数据应包括ISO9807附录D“认证元选择指南”所确定的内容。
三、ISO9807《银行业务及其相关金融服务——报文验证要求》
0.简介
报文验证码(MAC)可用于认证在发送者和接受者之间传递的报文的出处和内容。发送者产生MAC并将其与相关报文一同传输。
该国际标准使那些希望在零售银行业环境中实现报文认证的机构能够以安全的方式进行,并且对不同的实现方法之间提供便利的相互协作。
报文验证码是一个数据域,可用于验证报文的真实性。它或者由整条报文产生,或者由报文中那些需要保护以防偶然或故意篡改的特定数据元产生。
本国际标准属于描述零售银行业务环境中安全要求的系列标准。与之相关的另一系列标准描述了批发银行业务环境中的安全要求。
本标准的要求与ISO8730相兼容,并均与ISO8731有着紧密的联系,ISO8731描述了已批准的用于报文认证的算法。
1.适用范围
该标准描述了用于保护零售银行业务报文完整性和用于证实报文来源的一系列规程,并且描述了已批准的用于零售银行业务报文认证算法。
尽管通信双方有必要采用同一数据表示方法,标准中并未定义数据表示规则,而且认证过程也与传输过程相互独立。
附录A给出了已批准的报文验证码(MAC)算法清单,附录B则描述了算法加入标准的核准过程,附录C提供关于防止穷举法确定密钥的方法。
附录D在如何挑选认证元上给予指导,附录E提供有关防止由发方或收方引起的内部欺骗(例如收方伪造报文验证码)的一般信息,附录F描述了产生伪随机密钥的方法,附录G提供一些参考书目。
本国际标准不提供:
a)为防止报文非授权泄露而进行的加密;以及
b)有意或无意的报文丢失或重复的防范。
该标准适用于负责实现零售银行业务环境中报文认证的机构。
2.规范参考
以下标准包含的条款通过本国际标准的引用,构成本国际标准的条款。在其发布之时,所注明的版本有效。所有标准都可能再修订,所以鼓励基于本国际标准达成协议的各方,调查应用以下标准的最新版本的可能性。IEC和ISO的成员保持对当前有效的国际标准的注册。
ISO8730:1990,银行业务——报文认证要求(批发)。
ISO8731——1:1987,银行业务——已核准的报文认证算法——第一部分:DEA。
ISO8731——2:1997,银行业务——已核准的报文认证算法——第二部分:报文认证器算法。
3.术语
本国际标准采用以下术语及定义:
3.1 算法(algorithm):一个用于计算的特定数学过程。
3.2 认证(authentication):为了确保数据完整性并提供数据来源认证而在收发双方间使用的一个过程。
3.3 认证算法(authentication algorithm):使用认证密钥、一个或多个认证元完成认证的算法。
3.4 认证元(authentication element):将由认证保护的一个报文元。
3.5 认证密钥(authentication key):用于认证的加密密钥。
3.6 加密密钥(cryptographic key):完成证实、认证、加密或解密并被某一算法使用的一个参数。
3.7 密钥有效期(cryptoperiod):某一特定密钥被授权可用的一段时间,或给定系统密钥保持有效的一段时间。
3.8 加密(encipherment):将可读的明文转换为不可读的密文的过程,以确保安全性或私有性。
3.9 报文认证码(MAC)(Message Authentication Code):在收发方之间传递的报文中,用于证实报文源和部分或全部报文内容。该码为一个协定计算结果。
3.10 报文元(message element):为特定目的而指定的一串连续字符。
3.11 接收者(receiver):接收报文的一方。
3.12 发送者(sender):负责且有权发送报文的一方。
4.报文认证过程
4.1 认证密钥
认证密钥是供认证算法使用、保密的加密密钥,发方和收方应事先互相交换并确定。密钥必须是随机或伪随机产生的(见附录F)。用于报文认证的密钥不能用于其他目的,而且应加以保护,以防泄漏给非授权方。
4.2 认证元
收发双方协定应包括在MAC的运算中的报文元,以防欺骗性更改。
注:
1.建议所有报文元加入MAC计算;
2.MAC计算中可包括不发送元素。
MAC的计算中应忽略用于传输目的的头、尾报文信息。
4.3 MAC长度
MAC的长度应为32比特。
4.4 MAC生成
认证算法使用认证密钥和认证元,应依照收发双方协定的某一已批准认证算法的要求生成MAC。
注:
3.已批准认证算法清单见附录A。
4.生成MAC后,若改变认证元或其表示的序列顺序,将导致认证失败。
4.5 MAC的放置
MAC应放于:
a)报文中为MAC指定的域;或者
b)如果没有MAC指定域,附加在报文的数据部分的尾部。
若为了传输目的,分配的域大于32比特,则MAC应在该域内以左对齐放置。
5.MAC的验证
为了验证含有MAC报文的完整性,接收者采用4.4中指定的计算方法计算出一个MAC(参考MAC),计算时应以与发方相同的顺序使用相同数据、相同认证密钥和相同的认证算法。收到的MAC域不应包括在参考MAC的计算中。
将参考MAC与收到的MAC进行比较,若完全相同,则认证元的完整性以及报文来源的正确性得到证实。
6.认证算法的核准过程
在一个认证算法被批准加入附录A以前,该算法应满足以下两个基本要求:
a)该算法应提供附录A中已有算法所没有的功能。例如,适用于一个不同的操作环境,或可显著减少实现或操作费用,或可提供更高级别的保护。
b)对所宣称功能有足够的把握。
附录略。
1995年8月16日
中华人民共和国核两用品及相关技术出口管制条例
国务院
中华人民共和国核两用品及相关技术出口管制条例
中华人民共和国核两用品及相关技术出口管制条例
中华人民共和国国务院令(第245号)
《中华人民共和国核两用品及相关技术出口管制条例》
已经1998年6月1日国务院第四次常务会议通过,现予
发布施行。
总理 朱镕基
1998年6月10日
第一条为了加强对核两用品及相关技术出口的管制,防止核武器扩散,促进和平利用核能的国际合作,维护国家安全和社会公共利益,制定本条例。 第二条本条例所称核两用品及相关技术出口,是指本条例附件《核两用品及相关技术出口管制清单》(以下简称《管制清单》)所列的设备、材料及相关技术的贸易性出口及对外赠送、展览、科技合作和援助。 第三条国家对核两用品及相关技术出口实行严格管制,严格履行所承担的不扩散核武器的国际义务。 第四条核两用品及相关技术出口,应当遵守国家有关法律、行政法规和本条例的规定,不得损害国家安全和社会公共利益。 第五条国家对核两用品及相关技术出口实行许可证管理制度。 第六条核两用品及相关技术出口的许可,应当遵循下列准则: (一)接受方保证,不将中国供应的核两用品及相关技术用于核爆炸目的; (二)接受方保证,不将中国供应的核两用品及相关技术用于未接受国际原子能机构保障监督的核设施; (三)接受方保证,未经中国政府允许,不将中国供应的核两用品及相关技术向第三方转让。 第七条从事核两用品及相关技术出口的出口经营者,须经对外贸易经济合作部登记。未经登记,任何单位或者个人不得经营核两用品及相关技术出口。登记的具体办法由对外贸易经济合作部规定。 第八条出口《管制清单》所列的核两用品及相关技术,应当向对外贸易经济合作部提出申请,填写核两用品及相关技术出口申请表(以下简称出口申请表),并提交下列文件: (一)申请人的法定代表人、主要经营管理人以及经办人的身份证明; (二)合同或者协议的副本; (三)核两用品及相关技术的技术说明; (四)最终用户证明; (五)本条例第六条规定的保证文书; (六)对外贸易经济合作部要求提交的其他文件。 第九条核两用品及相关技术出口,属于参加境外展览、中方在境外自用,并在规定期限内复运进境的,在申请时经对外贸易经济合作部审查同意,可以免予提交本条例第八条规定的有关文件。 第十条申请人应当如实填写出口申请表。 出口申请表由对外贸易经济合作部统一印制。 第十一条对外贸易经济合作部应当自收到出口申请表和本条例第八条规定的文件之日起,会同国家原子能机构或者会同国家原子能机构商国务院有关部门,涉及外交政策的,并商外交部,进行审查并在45个工作日内作出许可或者不许可的决定。 第十二条对国家安全、社会公共利益或者外交政策有重大影响的核两用品及相关技术出口,对外贸易经济合作部应当报国务院批准。 报国务院批准的,不受本条例第十一条规定时限的限制。 第十三条核两用品及相关技术出口申请经审查许可的,由对外贸易经济合作部颁发核两用品及相关技术出口许可证(以下简称出口许可证),并书面通知海关。 第十四条出口许可证持有人改变原申请出口的核两用品及相关技术的,应当交回原出口许可证,并依照本条例的有关规定,重新申请、领取出口许可证。 第十五条核两用品及相关技术出口时,出口经营者应当向海关出具出口许可证,依照海关法的规定办理海关手续,并接受海关监管。 第十六条接受方违反其依照本条例第六条规定作出的保证,或者出现核武器扩散危险时,对外贸易经济合作部经商外交部和国家原子能机构后,应当对已经颁发的出口许可证予以中止或者撤销,并书面通知海关执行。 第十七条经国务院批准,对外贸易经济合作部会同国务院有关部门,可以临时决定对《管制清单》以外的特定核两用品及相关技术的出口依照本条例实施管制。 前款规定的特定核两用品及相关技术的出口,应当依照本条例的规定经过许可。 第十八条违反本条例的规定,出口核两用品及相关技术,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依照对外贸易法、海关法的有关规定处罚。 第十九条伪造、变造或者买卖出口许可证的,依法追究法律责任。 第二十条对核两用品及相关技术出口实施管制的国家工作人员玩忽职守、徇私舞弊或者滥用职权,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。 第二十一条对外贸易经济合作部可以会同国家原子能机构和国务院有关部门,根据实际情况对《管制清单》进行调整,报国务院批准后执行。 第二十二条中华人民共和国缔结或者参加的国际条约同本条例有不同规定的,适用国际条约的规定;但是,中华人民共和国声明保留的条款除外。 第二十三条本条例自发布之日起施行。 (核两用品及相关技术出口管制清单略) (新华社北京6月17日电) 《人民日报》(19980618五版)
认证培训机构管理办法(2005年)
国家质量监督检验检疫总局
国家质量监督检验检疫总局令
第81号
《认证培训机构管理办法》已经2005年8月31日国家质量监督检验检疫总局局务会议审议通过,现予公布,自2005年11月1日起施行。
局 长
二〇〇五年九月二十九日
认证培训机构管理办法
第一章 总则
第一条 为加强对认证培训机构的监督管理,规范认证培训活动,根据《中华人民共和国行政许可法》、《中华人民共和国认证认可条例》以及国务院有关规定,制定本办法。
第二条 本办法所称的认证培训机构,是指对从事认证评审、审核、检查以及其他与认证活动有关的人员进行基本培训活动的组织。
第三条 在中华人民共和国境内从事认证培训活动,应当遵守本办法。
第四条 国家认证认可监督管理委员会(以下简称国家认监委)负责认证培训机构及其认证培训活动的统一管理和监督工作。
各级地方质量技术监督部门和各地出入境检验检疫机构(以下统称地方认证监督管理部门)按照各自职责分工,依法对所辖区域内的认证培训活动进行监督检查。
第五条 国家鼓励认证培训机构取得国家认监委确定的认可机构(以下简称认可机构)的认可,以保证其持续、稳定地具有认证培训能力。
第二章 设立条件和批准程序
第六条 设立认证培训机构,应当经国家认监委批准,并依法取得法人资格后,方可从事批准范围内的认证培训活动。
第七条 设立认证培训机构,应当符合下列条件:
(一)有固定的经营场所和必要的培训教学设施及办公条件;
(二)注册资金不得少于人民币20万元;
(三)有4名以上具有注册培训教师资格的专职教师,每项课程的专职教师不得少于2名;
(四)有符合有关认证培训机构要求的质量管理体系文件;
(五)拥有自有或者相关组织授权的知识产权培训课程;
(六)依法应当具备的其他条件。
设立外商投资的认证培训机构除应当符合上述条件外,外方投资者还应当取得其所在国家或者地区法律规定的认证培训从业资格和认证培训授权,并具有认证培训授权相应的师资。
第八条 设立认证培训机构的审批程序:
(一)设立认证培训机构的申请人(以下简称申请人),应当向国家认监委提出书面申请,并提交相关证明材料;
(二)国家认监委应当对申请人提交的申请材料进行初步审查,并自收到申请材料之日起5日内作出受理或者不予受理申请的书面决定;
(三)国家认监委应当自受理申请之日起,对申请材料的实质内容进行审查和核实,并在20日内,作出是否批准的决定。决定批准的,向申请人出具《认证培训机构设立批准通知书》,不予批准的,应当书面通知申请人,并说明理由;
(四)申请人凭国家认监委出具的《认证培训机构设立批准通知书》,依法办理有关登记手续,凭依法办理的登记手续领取《认证培训机构批准书》。
国家认监委应当公布依法设立的认证培训机构名录。
第九条 《认证培训机构批准书》有效期为4年。
认证培训机构需要延期使用《认证培训机构批准书》的,应当在《认证培训机构批准书》有效期届满前90日内向国家认监委提出申请。
第十条 境外认证培训机构在中华人民共和国境内设立的常驻代表机构应当经国家认监委书面备案,方可从事有关业务联络、市场调研、技术交流等宣传推广活动,但不得从事认证培训经营性活动。
第十一条 认证培训机构分包境外认证培训机构或者组织的相关培训课程,应当经国家认监委批准。
第十二条 认证机构、认证培训机构、认证咨询机构可以从事其批准范围内的内审员培训活动,但认证机构不得对向委托其认证的认证委托人开展内审员培训活动。
内审员培训教师应当具有高级审核员或者高级咨询师资格。
第三章 行为规范
第十三条 认证培训机构应当按照国家认监委制定的认证培训基本规范、认证培训课程准则、规则等有关要求从事认证培训活动。
属于认证培训新领域,尚未制定统一认证培训课程准则、规则的,认证培训机构可以自行制定相应的认证培训课程准则和规则。
第十四条 认证培训机构应当公开认证培训基本要求、收费标准等信息,并保证信息的真实、准确、全面。
第十五条 认证培训机构应当完成认证培训机构和认证培训课程准则、规则规定的课程设计、课程管理、学员管理、证书管理和管理评审等基本程序,保证认证培训的完整、真实、有效,不得减少、遗漏认证培训程序和内容。
认证培训机构应当对认证培训过程作出完整记录,并归档留存。
第十六条 认证培训机构应当建立与认证培训课程准则、规则相适应的培训课程管理和培训教师能力评价制度,必要时可以取得认可机构的确认。
第十七条 认证培训机构及其认证培训教师应当及时作出认证培训结论,并保证认证培训结论的客观、真实。
经认证培训符合要求的,认证培训机构应当及时颁发认证培训合格证书;不符合要求的,应当告知被培训人,并说明理由。
第十八条 认证培训结论经培训教师签字后,由认证培训机构负责人或者其授权的人员签署。
认证培训机构及其认证培训教师对认证培训结论负责。
第十九条 认证培训机构应当对其认证培训活动的有效性实施监控和评价,至少每12个月实施1次内部质量体系审核和管理评审。
认证培训机构应当于每年1月底前向国家认监委和所在地方认证监督管理部门提交上1年度工作报告。
第二十条 有下列情形之一的,认证培训机构应当在发生变更之前向国家认监委报告,并办理相关变更事宜:
(一)认证培训业务范围发生变更;
(二)法定代表人、股东发生变更;
(三)专职教师发生变更;
(四)认证培训机构名称发生变更。
第四章 监督检查
第二十一条 国家认监委应当对认证培训机构实施监督检查。监督方式包括:年度报告审查;现场监督;对认证培训活动及结果进行抽查;组织同行评议;向认证培训对象征求意见。
第二十二条 认可机构对已取得认可的认证培训机构应当实施认可监督。
第二十三条 地方认证监督管理部门应当依照本办法的规定对认证培训活动实施监督检查,对违法行为予以查处。
第二十四条 任何单位和个人对认证培训违法违规行为,有权向国家认监委和地方认证监督管理部门举报。国家认监委和地方认证监督管理部门应当及时调查处理,并为举报人保密。
第二十五条 有下列情形之一的,国家认监委应当依法办理认证培训机构批准决定注销手续:
(一)《认证培训机构批准书》有效期届满未延续的;
(二)认证培训机构依法终止的;
(三)认证培训机构已经不具备认证培训能力的;
(四)法律法规规定的应当注销认证培训机构批准决定的其他情形。
第二十六条 有下列情形之一的,国家认监委根据利害关系人的请求或者依据职权,可以撤销对认证培训机构作出的批准决定:
(一)工作人员滥用职权、玩忽职守作出批准决定的;
(二)超越法定职权作出批准决定的;
(三)违反法定程序作出批准决定的;
(四)对不具备申请资格或者不符合法定条件的申请人准予批准的;
(五)依法可以撤销批准决定的其他情形。
第五章 罚则
第二十七条 未经批准擅自从事认证培训活动的,责令其停止认证培训活动,处3万元罚款,并予以公布。
第二十八条 未经批准擅自分包境外认证培训机构或者组织的相关课程培训的,责令其停止所分包的培训业务,处2万元罚款;情节严重的,国家认监委应当责令停业整顿,直至撤销批准文件,并予以公布。
第二十九条 申请人申请设立认证培训机构时,隐瞒有关情况或者提供虚假材料的,国家认监委应当不予受理或者不予批准,并给予警告。
第三十条 认证培训机构以欺骗、贿赂等不正当手段取得批准文件的,责令其停止认证培训活动,处3万元罚款;国家认监委应当撤销批准文件,并予以公布。
第三十一条 认证培训机构超越国家认监委批准的业务范围进行认证培训活动的,责令改正,处3万元罚款;情节严重的,国家认监委应当责令停业整顿,直至撤销批准文件,并予以公布。
第三十二条 认证培训机构涂改、出租、出借批准证书或者以分包本机构认证培训业务、委托招生等形式非法转让认证培训业务的,责令改正,处3万元罚款;情节严重的,国家认监委应当责令停业整顿,直至撤消批准文件,并予以公布。
第三十三条 认证培训机构在公开信息、网站和广告等宣传活动中进行虚假或者误导性宣传的,责令改正,处5000元罚款;情节严重的,国家认监委应当责令停业整顿,并予以公布。
第三十四条 违反本办法第十三条至第二十条规定的,责令改正,给予警告;情节严重的,处5000元以上2万元以下罚款。
第三十五条 认证培训机构在国家认监委或者地方认证监督管理部门对其实施的监督检查中,隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动情况的真实材料的,责令改正,处1万元以上3万元以下罚款;情节严重的,国家认监委应当责令停业整顿,并予以公布。
第三十六条 境外认证培训机构在中华人民共和国境内设立的常驻代表机构未经国家认监委备案或者从事认证培训经营性活动的,责令改正,处2万元罚款,并予以公布。
第三十七条 认证培训机构聘用未经认可机构注册或者确认的培训教师进行认证培训活动的,责令改正,处5000元罚款;情节严重的,国家认监委应当责令停业整顿,并予以公布。
第三十八条 认证培训机构在被国家认监委责令停业整顿期间,继续从事认证培训活动的,责令改正,处3万元罚款;情节严重的,国家认监委应当撤销批准文件,并予以公布。
第三十九条 买卖、伪造或者冒用批准文件、认证培训证书以及其他认证培训证明文件的,责令改正,处3万元罚款。
认证培训机构有前款规定的违法行为的,国家认监委应当责令停业整顿,直至撤销批准文件,并予以公布。
第四十条 国家认监委和地方认证监督管理部门的工作人员在认证培训机构审批工作中,违反本办法第二十六条第一项至第四项规定的,由其主管部门给予行政处分;构成犯罪的,依法追究其刑事责任。
第六章 附则
第四十一条 香港特别行政区、澳门特别行政区和台湾地区的申请人在中华人民共和国其他省、自治区、直辖市设立认证培训机构或者常驻代表机构,应当比照本办法办理有关审批以及其他事项。
第四十二条 认证培训收费,应当符合国家有关价格法律、行政法规的规定。
第四十三条 本办法由国家质量监督检验检疫总局负责解释。
第四十四条 本办法自2005年11月1日起施行。
有关认证培训机构审批以及其他管理规定不符合本办法规定的,自本办法施行之日起停止执行。