GB/T 27928.1-2011金融业务证书管理第1部分：公钥证书

ICS3524040

A11..

中华人民共和国国家标准

GB/T279281—2011

.

金融业务证书管理

第1部分公钥证书

:

Certificatemanagementforfinancialservices—

Part1Publickecertificates

:y

(ISO15782-1:2003,MOD)

2011-12-30发布2012-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T279281—2011

.

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

32

符号和缩略语……………

47

公钥基础设施……………

58

认证机构系统……………

610

数据元和关系……………

723

公钥证书和证书撤销列表扩展项………………………

831

附录规范性附录模块……………………

A()ASN.139

附录规范性附录参数和参数继承…………………

B()54

附录规范性附录金融机构第版证书扩展项框架………………

C()355

附录规范性附录对象标识符和属性………………

D()64

附录规范性附录公钥及相关参数的编码…………

E()65

附录规范性附录认证机构审计日志的内容和使用………………

F()71

附录资料性附录可选的信任模型…………………

G()74

附录资料性附录接受证书请求数据的建议要求…………………

H()79

附录资料性附录灾难恢复的认证机构技术………

I()81

附录资料性附录证书和证书撤销列表的分发……………………

J()83

参考文献……………………

84

Ⅰ

GB/T279281—2011

.

前言

在总标题银行业务证书管理下包括以下个部分

GB/T27928“”,2:

第部分公钥证书

———1:;

第部分证书扩展项

———2:。

本部分为的第部分

GB/T279281。

本部分修改采用银行业务证书管理第部分公钥证书英文版

ISO15782-1:2003《1:》()。

本部分根据重新起草与的技术性差异及原因为

ISO15782-1:2003,ISO15782-1:2003:

删去规范性引用文件中对下列文件的引用

a)“2”:

金融服务业使用不可逆算法的公钥密码第部分数字签名算法

ANSX9.30-11:(DSA);

金融服务业使用可逆算法的公钥密码第部分签名算法

ANSX9.31-11:RSA;

金融服务业公钥密码椭圆曲线数字签名算法

ANSX9.62:(ECDSA)。

中宜使用标准化或国家的密码技术和密码模块用于符合金融业使用要求

b)6.2.1.2d):“(ISO),

的级安全模块修改为宜使用国家的密码技术和密码模块用于符合金融业使用要求的

4。”:“,

级安全模块

4”。

删去原英文标准中公钥分发中如下文字

c)“6.3.5CA”:

对高风险应用应使用附录中定义的或者单单

,ISO9807:1991,C3DESMAC,DESMAC,

使用不同密钥对每一个数据库或缓冲区的条目进行签名对中低风险应用使用

DESMAC。,

任何核准的密钥管理标准的单就足够了并删去本节最后一段中如

TC68DESMAC。“DSA

和

RSA”。

把最后一段中原文自动化的审计日志应保护以防止修改或替换哈希和数字签名的

d)6.4.2“。

使用可遵循和中规定修改为自动化的审计日志应保

ANSX9.30,ANSX9.31ANSX9.62”“

护以防止修改或替换哈希和数字签名的使用应遵循我国密码管理部门的规定

。。”

删去附录标题的注释对慎重的基于日志的算法如和删

e)B:3):Diffie-HelIman,DSAECDSA;

除附录示例因为该示例用了和的例子

B.3,DSARSA。

将附录的脚注即将发布的修订版因为其对应的国家标准

f)E“4)(ISO8824-2:1998)”,

已经发布

GB/T16262.2—2006。

删去附录资料性附录因为其中引用了等例子

g)I(),DSA。

删除因为与重复

h)5.5,3.33。

为便于使用本部分还做了下列编辑性修改

,:

对规范性引用文件中所引用的国际标准有相应国家标准的改为引用国家标准

a),,;

删除前言

b)ISO。

附录附录为规范性附录附录附录为资料性附录

A~F。G~J。

本部分由中国人民银行提出

。

本部分由全国金融标准化技术委员会归口

(SAC/TC180)。

本部分负责起草单位中国金融电子化公司

:。

本部分参加起草单位中国人民银行中国工商银行中国农业银行中国建设银行交通银行中国

:、、、、、

银联股份有限公司华北计算技术研究所北京工商大学

、、。

本部分主要起草人王平娃陆书春李曙光吕毅杨颖莉刘运林中张启瑞仲志晖景芸周亦鹏

:、、、、、、、、、、、

钱湘隆赵金波曹文中李劲松刘先

、、、、。

Ⅲ

GB/T279281—2011

.

引言

的本部分在金融服务业方面采纳了部分定义了证书管理的过程和数

GB/T27928GB/T16264.8,

据元

。

即将转化我国国家标准给出了金融业对独立扩展项的详细需求

ISO15782-2()。

虽然本部分所描述的技术是用于保证金融报文的完整性和支持不可否认服务但本部分不能保证

,

一个特定的执行是安全的金融机构有责任在全过程的适当位置加入必要的控制以确保这些过程被安

。

全地执行这些控制包括为了验证符合性而应用适当的审计测试

。。

证明公钥拥有者的身份和公钥的绑定是为了证实对应私钥的所有权该绑定称作公钥证书公钥

。。

证书由可信实体认证机构生成

———(CA)。

本部分的正确执行应以保证绑定了实体用于文件包括电汇和合同签名的密钥和实体身份为

()

前提

。

本部分定义了用于鉴别的证书管理框架包括鉴别加密密钥

,。

本部分所描述的技术能应用于合法实体实体之间发起的业务关系

()。

Ⅳ

GB/T279281—2011

.

金融业务证书管理

第1部分公钥证书

:

1范围

的本部分定义了用于法人和自然人的金融业证书管理系统包括

GB/T27928,:

凭证和证书内容

———;

证书授权系统包括用于数字签名和加密密钥管理的证书

———,;

证书的生成分发验证和更新

———、、;

鉴别结构和认证路径

———;

撤销和恢复程序

———;

公钥证书和证书撤销列表的定义扩展项

———。

本标准适用于金融行业中公钥证书的管理

。

的本部分也推荐了一些有用的操作程序例如分发机制对所提交凭证的接受标准

GB/T27928(,,)。

的本部分的执行也将基于业务风险和法律要求

GB/T27928。

的本部分不包括以下内容

GB/T27928:

在证书管理过程中各参与方之间使用的协议报文

———;

对公证人和时间戳的要求

———;

证书策略和认证行为的要求

———;

可信第三方的要求

———;

属性证书

———。

虽然本部分规定了证书可包括用于加密密钥的公钥管理生成的相关方面但并未说明加密密钥

(),

的生成与传输

。

希望遵守的实施者可以采用该标准定义的证书结构希望实现兼容证书和证书撤

GB/T16264.8。

销结构而没有系列相关的头字段的实施者可以采用附录中所定义的结构

X.500AASN.1。

2规范性引用文件

下列文件对于本文件的应用是必不可少的