GB/T 27913-2011用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架

ICS3524040

A11..

中華人民共和國國家標準

GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

(ISO21188:2006,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T27913—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

33

縮略語……………………

48

公鑰基礎(chǔ)設(shè)施……………………

5(PKI)9

概述…………………

5.19

簡介……………

5.2PKI9

商業(yè)要求對環(huán)境的影響……………………

5.3PKI10

功能…………………

5.414

商業(yè)視角……………

5.517

證書策略……………………

5.6(CP)18

認證業(yè)務(wù)說明………………

5.7(CPS)20

證書策略和認證業(yè)務(wù)說明間的關(guān)系………………

5.821

協(xié)議…………………

5.921

時間戳……………

5.1022

證書策略和認證業(yè)務(wù)說明要求…………

623

證書策略……………………

6.1(CP)23

認證業(yè)務(wù)說明………………

6.2(CPS)24

認證機構(gòu)控制目標………………………

725

概述…………………

7.125

環(huán)境控制目標…………………

7.2CA25

密鑰生命周期管理控制目標…………………

7.3CA27

主體密鑰生命周期管理控制目標…………………

7.428

證書生命周期管理控制目標………………………

7.528

證書生命周期管理控制………………………

7.6CA29

認證機構(gòu)控制程序………………………

830

概述…………………

8.130

環(huán)境控制………………………

8.2CA30

密鑰生命周期管理控制………………………

8.3CA41

主體密鑰生命周期管理控制………………………

8.444

證書生命周期管理控制……………

8.548

證書生命周期管理控制………………………

8.6CA53

附錄資料性附錄根據(jù)證書策略進行管理…………

A()55

證書策略引言和目的……………

A.155

Ⅰ

GB/T27913—2011

證書策略的定義…………………

A.255

在證書內(nèi)建立策略………………

A.355

命名的證書策略下的證書適用性………………

A.457

交叉認證證書鏈策略映射和證書策略………

A.5,、57

證書類型…………………………

A.658

證書分類和命名…………………

A.759

證書策略規(guī)定……………………

A.860

證書策略管理……………………

A.961

附錄資料性附錄認證業(yè)務(wù)說明的要素……………

B()62

概述………………

B.162

引言………………

B.262

一般規(guī)定…………………………

B.363

認證與鑒別………………………

B.464

操作要求…………………………

B.566

物理的程序性的和人員的安全控制……………

B.6、68

技術(shù)上的安全控制………………

B.769

證書和框架…………………

B.8CRL71

實施管理…………………………

B.972

附錄資料性附錄對象標識符………………

C()(OID)74

為什么有……………………

C.1OID74

什么是………………………

C.2OID74

的注冊………………………

C.3OID74

為什么需要并且如何對它們進行管理……………………

C.4OID75

附錄資料性附錄密鑰生成過程………………

D()CA76

概述………………

D.176

角色和責任………………………

D.276

密鑰生成過程腳本……………

D.3CA77

密鑰生成過程程序……………

D.4CA77

附錄資料性附錄將映射到………………

E()RFC2527RFC364779

參考文獻……………………

85

Ⅱ

GB/T27913—2011

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準修改采用用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架英文版

ISO21188:2006《》()。

本標準與的技術(shù)性差異為

ISO21188:2006:

刪除第章中縮略語

a)4FIPS;

刪除縮略語該縮略語在正文中沒有出現(xiàn)

b)PKIX,;

刪除中的引用

c)8.3.2FIPS140-2;

刪除中的引用

d)8.4.3FIPS140-2;

刪除中的引用

e)8.4.4FIPS140-2;

刪除中的引用

f)B.7.3FIPS140-2;

刪除中的引用

g)B.7.9FIPS140-2;

刪除參考文獻中的引用

h)FIPS。

對于做了下列編輯性修改

ISO21188:

本國際標準改為本標準

a)“”“”;

刪除國際標準前言

b)。

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術(shù)委員會歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國人民銀行中國銀行中國工商銀行中國銀聯(lián)股份有限公司中國科學(xué)

:、、、、

院軟件研究所中國人民銀行興化中心支行

、。

本標準主要起草人王平娃陸書春李曙光仲志輝張凡賈樹輝趙志蘭景蕓劉運冉平

:、、、、、、、、、、

王治綱周燕媚

、。

Ⅲ

GB/T27913—2011

引言

隨著金融服務(wù)業(yè)對互聯(lián)網(wǎng)技術(shù)應(yīng)用的不斷擴大金融行業(yè)對提供安全的機密的和可信賴的金融交

,、

易及處理系統(tǒng)方面的需求不斷增長從而導(dǎo)致了先進安全技術(shù)與公鑰密碼學(xué)的結(jié)合公鑰密碼學(xué)需要

,。

業(yè)務(wù)優(yōu)化的技術(shù)管理和策略基礎(chǔ)設(shè)施本文中定義為公鑰基礎(chǔ)設(shè)施或來滿足金融應(yīng)用系統(tǒng)中電

、(PKI)

子標識鑒別報文完整性保護和授權(quán)的要求中電子標識鑒別和授權(quán)標準的應(yīng)用進一步確保了

、、。PKI、

系統(tǒng)安全的一致性可預(yù)測性和電子交易的可信任性

、。

數(shù)字簽名和技術(shù)可用于開發(fā)金融服務(wù)業(yè)的應(yīng)用這些應(yīng)用的安全和有效性部分依賴于確保

PKI。

基礎(chǔ)設(shè)施整體完整性的實踐對于將個人身份與其他實體和密鑰要素如密鑰關(guān)聯(lián)起來的基于授權(quán)的

。()

系統(tǒng)其用戶可以從標準的風險管理系統(tǒng)和本標準定義的可審計業(yè)務(wù)基礎(chǔ)中受益

,。

國際標準化組織技術(shù)委員會的成員已經(jīng)通過制定數(shù)字簽名密鑰管理證書管理和數(shù)據(jù)加

TC68、、

密的技術(shù)標準和指南確定了公鑰技術(shù)第和第部分定義了供金融業(yè)使用的證書管理系

。ISO1578212

統(tǒng)但沒有包括證書策略和認證業(yè)務(wù)要求本標準制定了通過證書策略認證業(yè)務(wù)說明控制目標和控

,。、、

制程序來管理的框架對第和第部分進行補充對這些標準的實現(xiàn)者來說金融交

PKI,ISO1578212。,

易中的實體可以依賴標準實現(xiàn)的程度以及使用這些國際標準達到的間的互操作的程度都將

PKIPKI,

部分依賴于本標準中定義的與策略和實施相關(guān)的因素

。

Ⅳ

GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實施和策略框架

1范圍

本標準規(guī)定了通過證書策略和認證業(yè)務(wù)說明對進行管理以及將公鑰證書用于金融服務(wù)行業(yè)

PKI,

的要求框架同時也定義了風險管理的控制目標和控制程序

。。

本標準適用于開放封閉和契約環(huán)境中的系統(tǒng)進行區(qū)分并且根據(jù)金融服務(wù)行業(yè)信息系統(tǒng)控

、PKI,

制目標進一步定義了運行的業(yè)務(wù)本標準的目的在于幫助實施者定義支持多證書策略的業(yè)務(wù)包

。PKI,

括數(shù)字簽名遠程鑒別和數(shù)字加密的使用

、。

本標準使得契約環(huán)境中滿足金融服務(wù)行業(yè)要求且基于控制的業(yè)務(wù)的可操作性更易于實現(xiàn)

PKI。

盡管本標準主要針對契約環(huán)境但并不排除將文檔應(yīng)用于其他環(huán)境文檔中術(shù)語證書是指公鑰證書

,。“”。

屬性證書不在本標準范圍之內(nèi)

。

本標準的目標是針對不同需求的多種使用者因此每類使用者會關(guān)注不同的內(nèi)容

,。

業(yè)務(wù)管理者和分析者是那些需要在開展的業(yè)務(wù)中使用技術(shù)的人員應(yīng)關(guān)注第第章

PKI,1~6。

技術(shù)設(shè)計者和實現(xiàn)者是那些編寫他們的證書策略和認證業(yè)務(wù)說明的人員應(yīng)關(guān)注第第章以

,6~8,

及附錄附錄

A~F。

運行管理和審計者是那些負責系統(tǒng)日常運行并根據(jù)本標準進行一致性檢查的人員應(yīng)關(guān)注

PKI,

第第章

6~8。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是比不可少的凡是