GB/T 27913-2011用于金融服务的公钥基础设施实施和策略框架

ICS3524040

A11..

中华人民共和国国家标准

GB/T27913—2011

用于金融服务的公钥基础设施

实施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

(ISO21188:2006,MOD)

2011-12-30发布2012-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T27913—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

33

缩略语……………………

48

公钥基础设施……………………

5(PKI)9

概述…………………

5.19

简介……………

5.2PKI9

商业要求对环境的影响……………………

5.3PKI10

功能…………………

5.414

商业视角……………

5.517

证书策略……………………

5.6(CP)18

认证业务说明………………

5.7(CPS)20

证书策略和认证业务说明间的关系………………

5.821

协议…………………

5.921

时间戳……………

5.1022

证书策略和认证业务说明要求…………

623

证书策略……………………

6.1(CP)23

认证业务说明………………

6.2(CPS)24

认证机构控制目标………………………

725

概述…………………

7.125

环境控制目标…………………

7.2CA25

密钥生命周期管理控制目标…………………

7.3CA27

主体密钥生命周期管理控制目标…………………

7.428

证书生命周期管理控制目标………………………

7.528

证书生命周期管理控制………………………

7.6CA29

认证机构控制程序………………………

830

概述…………………

8.130

环境控制………………………

8.2CA30

密钥生命周期管理控制………………………

8.3CA41

主体密钥生命周期管理控制………………………

8.444

证书生命周期管理控制……………

8.548

证书生命周期管理控制………………………

8.6CA53

附录资料性附录根据证书策略进行管理…………

A()55

证书策略引言和目的……………

A.155

Ⅰ

GB/T27913—2011

证书策略的定义…………………

A.255

在证书内建立策略………………

A.355

命名的证书策略下的证书适用性………………

A.457

交叉认证证书链策略映射和证书策略………

A.5,、57

证书类型…………………………

A.658

证书分类和命名…………………

A.759

证书策略规定……………………

A.860

证书策略管理……………………

A.961

附录资料性附录认证业务说明的要素……………

B()62

概述………………

B.162

引言………………

B.262

一般规定…………………………

B.363

认证与鉴别………………………

B.464

操作要求…………………………

B.566

物理的程序性的和人员的安全控制……………

B.6、68

技术上的安全控制………………

B.769

证书和框架…………………

B.8CRL71

实施管理…………………………

B.972

附录资料性附录对象标识符………………

C()(OID)74

为什么有……………………

C.1OID74

什么是………………………

C.2OID74

的注册………………………

C.3OID74

为什么需要并且如何对它们进行管理……………………

C.4OID75

附录资料性附录密钥生成过程………………

D()CA76

概述………………

D.176

角色和责任………………………

D.276

密钥生成过程脚本……………

D.3CA77

密钥生成过程程序……………

D.4CA77

附录资料性附录将映射到………………

E()RFC2527RFC364779

参考文献……………………

85

Ⅱ

GB/T27913—2011

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准修改采用用于金融服务的公钥基础设施实施和策略框架英文版

ISO21188:2006《》()。

本标准与的技术性差异为

ISO21188:2006:

删除第章中缩略语

a)4FIPS;

删除缩略语该缩略语在正文中没有出现

b)PKIX,;

删除中的引用

c)8.3.2FIPS140-2;

删除中的引用

d)8.4.3FIPS140-2;

删除中的引用

e)8.4.4FIPS140-2;

删除中的引用

f)B.7.3FIPS140-2;

删除中的引用

g)B.7.9FIPS140-2;

删除参考文献中的引用

h)FIPS。

对于做了下列编辑性修改

ISO21188:

本国际标准改为本标准

a)“”“”;

删除国际标准前言

b)。

本标准由中国人民银行提出

。

本标准由全国金融标准化技术委员会归口

(SAC/TC180)。

本标准负责起草单位中国金融电子化公司

:。

本标准参加起草单位中国人民银行中国银行中国工商银行中国银联股份有限公司中国科学

:、、、、

院软件研究所中国人民银行兴化中心支行

、。

本标准主要起草人王平娃陆书春李曙光仲志辉张凡贾树辉赵志兰景芸刘运冉平

:、、、、、、、、、、

王治纲周燕媚

、。

Ⅲ

GB/T27913—2011

引言

随着金融服务业对互联网技术应用的不断扩大金融行业对提供安全的机密的和可信赖的金融交

,、

易及处理系统方面的需求不断增长从而导致了先进安全技术与公钥密码学的结合公钥密码学需要

,。

业务优化的技术管理和策略基础设施本文中定义为公钥基础设施或来满足金融应用系统中电

、(PKI)

子标识鉴别报文完整性保护和授权的要求中电子标识鉴别和授权标准的应用进一步确保了

、、。PKI、

系统安全的一致性可预测性和电子交易的可信任性

、。

数字签名和技术可用于开发金融服务业的应用这些应用的安全和有效性部分依赖于确保

PKI。

基础设施整体完整性的实践对于将个人身份与其他实体和密钥要素如密钥关联起来的基于授权的

。()

系统其用户可以从标准的风险管理系统和本标准定义的可审计业务基础中受益

,。

国际标准化组织技术委员会的成员已经通过制定数字签名密钥管理证书管理和数据加

TC68、、

密的技术标准和指南确定了公钥技术第和第部分定义了供金融业使用的证书管理系

。ISO1578212

统但没有包括证书策略和认证业务要求本标准制定了通过证书策略认证业务说明控制目标和控

,。、、

制程序来管理的框架对第和第部分进行补充对这些标准的实现者来说金融交

PKI,ISO1578212。,

易中的实体可以依赖标准实现的程度以及使用这些国际标准达到的间的互操作的程度都将

PKIPKI,

部分依赖于本标准中定义的与策略和实施相关的因素

。

Ⅳ

GB/T27913—2011

用于金融服务的公钥基础设施

实施和策略框架

1范围

本标准规定了通过证书策略和认证业务说明对进行管理以及将公钥证书用于金融服务行业

PKI,

的要求框架同时也定义了风险管理的控制目标和控制程序

。。

本标准适用于开放封闭和契约环境中的系统进行区分并且根据金融服务行业信息系统控

、PKI,

制目标进一步定义了运行的业务本标准的目的在于帮助实施者定义支持多证书策略的业务包

。PKI,

括数字签名远程鉴别和数字加密的使用

、。

本标准使得契约环境中满足金融服务行业要求且基于控制的业务的可操作性更易于实现

PKI。

尽管本标准主要针对契约环境但并不排除将文档应用于其他环境文档中术语证书是指公钥证书

,。“”。

属性证书不在本标准范围之内

。

本标准的目标是针对不同需求的多种使用者因此每类使用者会关注不同的内容

,。

业务管理者和分析者是那些需要在开展的业务中使用技术的人员应关注第第章

PKI,1~6。

技术设计者和实现者是那些编写他们的证书策略和认证业务说明的人员应关注第第章以

,6~8,

及附录附录

A~F。

运行管理和审计者是那些负责系统日常运行并根据本标准进行一致性检查的人员应关注

PKI,

第第章

6~8。

2规范性引用文件

下列文件对于本文件的应用是比不可少的凡是