ICS3524040

A11..

中華人民共和國國家標準

GB/T27913—2011

用于金融服務的公鑰基礎設施

實施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

(ISO21188:2006,MOD)

2011-12-30發布2012-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T27913—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

33

縮略語……………………

48

公鑰基礎設施……………………

5(PKI)9

概述…………………

5.19

簡介……………

5.2PKI9

商業要求對環境的影響……………………

5.3PKI10

功能…………………

5.414

商業視角……………

5.517

證書策略……………………

5.6(CP)18

認證業務說明………………

5.7(CPS)20

證書策略和認證業務說明間的關系………………

5.821

協議…………………

5.921

時間戳……………

5.1022

證書策略和認證業務說明要求…………

623

證書策略……………………

6.1(CP)23

認證業務說明………………

6.2(CPS)24

認證機構控制目標………………………

725

概述…………………

7.125

環境控制目標…………………

7.2CA25

密鑰生命周期管理控制目標…………………

7.3CA27

主體密鑰生命周期管理控制目標…………………

7.428

證書生命周期管理控制目標………………………

7.528

證書生命周期管理控制………………………

7.6CA29

認證機構控制程序………………………

830

概述…………………

8.130

環境控制………………………

8.2CA30

密鑰生命周期管理控制………………………

8.3CA41

主體密鑰生命周期管理控制………………………

8.444

證書生命周期管理控制……………

8.548

證書生命周期管理控制………………………

8.6CA53

附錄資料性附錄根據證書策略進行管理…………

A()55

證書策略引言和目的……………

A.155

Ⅰ

GB/T27913—2011

證書策略的定義…………………

A.255

在證書內建立策略………………

A.355

命名的證書策略下的證書適用性………………

A.457

交叉認證證書鏈策略映射和證書策略………

A.5,、57

證書類型…………………………

A.658

證書分類和命名…………………

A.759

證書策略規定……………………

A.860

證書策略管理……………………

A.961

附錄資料性附錄認證業務說明的要素……………

B()62

概述………………

B.162

引言………………

B.262

一般規定…………………………

B.363

認證與鑒別………………………

B.464

操作要求…………………………

B.566

物理的程序性的和人員的安全控制……………

B.6、68

技術上的安全控制………………

B.769

證書和框架…………………

B.8CRL71

實施管理…………………………

B.972

附錄資料性附錄對象標識符………………

C()(OID)74

為什么有……………………

C.1OID74

什么是………………………

C.2OID74

的注冊………………………

C.3OID74

為什么需要并且如何對它們進行管理……………………

C.4OID75

附錄資料性附錄密鑰生成過程………………

D()CA76

概述………………

D.176

角色和責任………………………

D.276

密鑰生成過程腳本……………

D.3CA77

密鑰生成過程程序……………

D.4CA77

附錄資料性附錄將映射到………………

E()RFC2527RFC364779

參考文獻……………………

85

Ⅱ

GB/T27913—2011

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準修改采用用于金融服務的公鑰基礎設施實施和策略框架英文版

ISO21188:2006《》()。

本標準與的技術性差異為

ISO21188:2006:

刪除第章中縮略語

a)4FIPS;

刪除縮略語該縮略語在正文中沒有出現

b)PKIX,;

刪除中的引用

c)8.3.2FIPS140-2;

刪除中的引用

d)8.4.3FIPS140-2;

刪除中的引用

e)8.4.4FIPS140-2;

刪除中的引用

f)B.7.3FIPS140-2;

刪除中的引用

g)B.7.9FIPS140-2;

刪除參考文獻中的引用

h)FIPS。

對于做了下列編輯性修改

ISO21188:

本國際標準改為本標準

a)“”“”;

刪除國際標準前言

b)。

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術委員會歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國人民銀行中國銀行中國工商銀行中國銀聯股份有限公司中國科學

:、、、、

院軟件研究所中國人民銀行興化中心支行

、。

本標準主要起草人王平娃陸書春李曙光仲志輝張凡賈樹輝趙志蘭景蕓劉運冉平

:、、、、、、、、、、

王治綱周燕媚

、。

Ⅲ

GB/T27913—2011

引言

隨著金融服務業對互聯網技術應用的不斷擴大金融行業對提供安全的機密的和可信賴的金融交

,、

易及處理系統方面的需求不斷增長從而導致了先進安全技術與公鑰密碼學的結合公鑰密碼學需要

,。

業務優化的技術管理和策略基礎設施本文中定義為公鑰基礎設施或來滿足金融應用系統中電

、(PKI)

子標識鑒別報文完整性保護和授權的要求中電子標識鑒別和授權標準的應用進一步確保了

、、。PKI、

系統安全的一致性可預測性和電子交易的可信任性

、。

數字簽名和技術可用于開發金融服務業的應用這些應用的安全和有效性部分依賴于確保

PKI。

基礎設施整體完整性的實踐對于將個人身份與其他實體和密鑰要素如密鑰關聯起來的基于授權的

。()

系統其用戶可以從標準的風險管理系統和本標準定義的可審計業務基礎中受益

,。

國際標準化組織技術委員會的成員已經通過制定數字簽名密鑰管理證書管理和數據加

TC68、、

密的技術標準和指南確定了公鑰技術第和第部分定義了供金融業使用的證書管理系

。ISO1578212

統但沒有包括證書策略和認證業務要求本標準制定了通過證書策略認證業務說明控制目標和控

,。、、

制程序來管理的框架對第和第部分進行補充對這些標準的實現者來說金融交

PKI,ISO1578212。,

易中的實體可以依賴標準實現的程度以及使用這些國際標準達到的間的互操作的程度都將

PKIPKI,

部分依賴于本標準中定義的與策略和實施相關的因素

。

Ⅳ

GB/T27913—2011

用于金融服務的公鑰基礎設施

實施和策略框架

1范圍

本標準規定了通過證書策略和認證業務說明對進行管理以及將公鑰證書用于金融服務行業

PKI,

的要求框架同時也定義了風險管理的控制目標和控制程序

。。

本標準適用于開放封閉和契約環境中的系統進行區分并且根據金融服務行業信息系統控

、PKI,

制目標進一步定義了運行的業務本標準的目的在于幫助實施者定義支持多證書策略的業務包

。PKI,

括數字簽名遠程鑒別和數字加密的使用

、。

本標準使得契約環境中滿足金融服務行業要求且基于控制的業務的可操作性更易于實現

PKI。

盡管本標準主要針對契約環境但并不排除將文檔應用于其他環境文檔中術語證書是指公鑰證書

,。“”。

屬性證書不在本標準范圍之內

。

本標準的目標是針對不同需求的多種使用者因此每類使用者會關注不同的內容

,。

業務管理者和分析者是那些需要在開展的業務中使用技術的人員應關注第第章

PKI,1~6。

技術設計者和實現者是那些編寫他們的證書策略和認證業務說明的人員應關注第第章以

,6~8,

及附錄附錄

A~F。

運行管理和審計者是那些負責系統日常運行并根據本標準進行一致性檢查的人員應關注

PKI,

第第章

6~8。

2規范性引用文件

下列文件對于本文件的應用是比不可少的凡是