前言

譯自： https://dzone.com/articles/as...
公司的 B2B 系統要使用 AS2 這種古老的協議跟客戶做對接，主要面向國外客戶，國內基本上都是 FTP。網上關於 AS2 的文章和 github 上可用的輪子都非常少，所以我翻譯了一些 AS2 的文章供參考學習。
Applicability Statement 2或叫 AS2 協議規格書定義了一種在互聯網上傳輸商業數據的安全可靠的機制。

AS2 消息內容

AS2 協議本身並沒有限制 AS2 消息的內容。不過，AS2 的消息內容通常是結構化的商業文檔，例如發票，採購訂單等。所以 AS2 系統通常用來處理 EDI (電子數據交換)。EDI 的標準主要有：

• 聯合國推薦的 UN/EDIFACT 是唯一的國際標準，主要是北美洲以外的地區在使用
• 美國標準的 ANSI ASC X12 (X12)，主要是美國佬在使用
• TRADACOMS，英國零售業在用
• ODETTE 標準，歐洲汽車工業在用

AS2 消息能夠攜帶非 EDI 的內容，例如 XML, CSV, 文本或二進制文件。

MDN - Message Disposition Notice (消息處理通知)

MDN 是由接收方通過 AS2 協議簽發的電子收據。通常，接收方使用私鑰，生成 digital signature (數字簽名)，數字簽名的生成主要基於 MIC (數據完整性校驗碼) 和其他 AS2 屬性，例如 From/To AS2 ID, message ID 等。發送方收到 MDN 後校驗 MDN 中的 MIC 是否跟發送時計算出來的 MIC 相同 (計算 MIC 使用散列算法，例如 MD5, SHA)，確認接收方是否成功接收到完整的消息。MDN 總會附帶 (接收方) 簽名，這樣雙方都不能否認這個電子收據。
MDN 並不意味著接收方商業夥伴成功處理了 AS2 消息文檔，僅僅說明 AS2 消息傳輸成功 (被商業夥伴接收)。

AS2 vs 傳統 B2B 協議

相比傳統的 B2B 協議，AS2 (在不借助專用設備，軟件或私有網絡的情況下) 提供了一種安全，高效，易用的交易環境。AS2 優點主要有：

• 對消息內容進行加密(使用非對稱加密技術，例如RSA)——所以只有目標用戶才能解密這個消息。
• (發送方) 通過 (接收方) 簽署過的 MDN 確認 AS2 消息內容被完整傳輸——接收方基於 (AS2消息內容的) 散列碼進行簽名並附在電子收據 (MDN) 上。
• 防止惡意模仿——接收方通過 AS2 消息簽名驗證消息是來自可信任的交易夥伴，而不是其他可疑模仿者。
• 防火牆友好，節約成本—— AS2 不使用昂貴的增值網絡。

既然 AS2 協議運行在 HTTP 之上，因此消息很容易通過防火牆。AS2 還可使用 SSL 加密技術或 HTTP 認證這些額外的安全措施。AS2 協議使用交易夥伴的數字證書 (中的公鑰) 加密消息內容，消息內容也附帶了 (已方私鑰簽署的) 電子簽名保證消息的完整性和不可否認性。通過接收方簽發的 MDN，發送方可以確認 AS2 傳輸過程是否安全，內容是否被篡改。MDN 作為 AS2 消息的一對一電子收據，在推進 B2B 貿易中扮演著重要的角色。