GB/T 27913-2011用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實(shí)施和策略框架

ICS3524040

A11..

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實(shí)施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

(ISO21188:2006,MOD)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T27913—2011

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

33

縮略語(yǔ)……………………

48

公鑰基礎(chǔ)設(shè)施……………………

5(PKI)9

概述…………………

5.19

簡(jiǎn)介……………

5.2PKI9

商業(yè)要求對(duì)環(huán)境的影響……………………

5.3PKI10

功能…………………

5.414

商業(yè)視角……………

5.517

證書策略……………………

5.6(CP)18

認(rèn)證業(yè)務(wù)說(shuō)明………………

5.7(CPS)20

證書策略和認(rèn)證業(yè)務(wù)說(shuō)明間的關(guān)系………………

5.821

協(xié)議…………………

5.921

時(shí)間戳……………

5.1022

證書策略和認(rèn)證業(yè)務(wù)說(shuō)明要求…………

623

證書策略……………………

6.1(CP)23

認(rèn)證業(yè)務(wù)說(shuō)明………………

6.2(CPS)24

認(rèn)證機(jī)構(gòu)控制目標(biāo)………………………

725

概述…………………

7.125

環(huán)境控制目標(biāo)…………………

7.2CA25

密鑰生命周期管理控制目標(biāo)…………………

7.3CA27

主體密鑰生命周期管理控制目標(biāo)…………………

7.428

證書生命周期管理控制目標(biāo)………………………

7.528

證書生命周期管理控制………………………

7.6CA29

認(rèn)證機(jī)構(gòu)控制程序………………………

830

概述…………………

8.130

環(huán)境控制………………………

8.2CA30

密鑰生命周期管理控制………………………

8.3CA41

主體密鑰生命周期管理控制………………………

8.444

證書生命周期管理控制……………

8.548

證書生命周期管理控制………………………

8.6CA53

附錄資料性附錄根據(jù)證書策略進(jìn)行管理…………

A()55

證書策略引言和目的……………

A.155

Ⅰ

GB/T27913—2011

證書策略的定義…………………

A.255

在證書內(nèi)建立策略………………

A.355

命名的證書策略下的證書適用性………………

A.457

交叉認(rèn)證證書鏈策略映射和證書策略………

A.5,、57

證書類型…………………………

A.658

證書分類和命名…………………

A.759

證書策略規(guī)定……………………

A.860

證書策略管理……………………

A.961

附錄資料性附錄認(rèn)證業(yè)務(wù)說(shuō)明的要素……………

B()62

概述………………

B.162

引言………………

B.262

一般規(guī)定…………………………

B.363

認(rèn)證與鑒別………………………

B.464

操作要求…………………………

B.566

物理的程序性的和人員的安全控制……………

B.6、68

技術(shù)上的安全控制………………

B.769

證書和框架…………………

B.8CRL71

實(shí)施管理…………………………

B.972

附錄資料性附錄對(duì)象標(biāo)識(shí)符………………

C()(OID)74

為什么有……………………

C.1OID74

什么是………………………

C.2OID74

的注冊(cè)………………………

C.3OID74

為什么需要并且如何對(duì)它們進(jìn)行管理……………………

C.4OID75

附錄資料性附錄密鑰生成過程………………

D()CA76

概述………………

D.176

角色和責(zé)任………………………

D.276

密鑰生成過程腳本……………

D.3CA77

密鑰生成過程程序……………

D.4CA77

附錄資料性附錄將映射到………………

E()RFC2527RFC364779

參考文獻(xiàn)……………………

85

Ⅱ

GB/T27913—2011

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)修改采用用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實(shí)施和策略框架英文版

ISO21188:2006《》()。

本標(biāo)準(zhǔn)與的技術(shù)性差異為

ISO21188:2006:

刪除第章中縮略語(yǔ)

a)4FIPS;

刪除縮略語(yǔ)該縮略語(yǔ)在正文中沒有出現(xiàn)

b)PKIX,;

刪除中的引用

c)8.3.2FIPS140-2;

刪除中的引用

d)8.4.3FIPS140-2;

刪除中的引用

e)8.4.4FIPS140-2;

刪除中的引用

f)B.7.3FIPS140-2;

刪除中的引用

g)B.7.9FIPS140-2;

刪除參考文獻(xiàn)中的引用

h)FIPS。

對(duì)于做了下列編輯性修改

ISO21188:

本國(guó)際標(biāo)準(zhǔn)改為本標(biāo)準(zhǔn)

a)“”“”;

刪除國(guó)際標(biāo)準(zhǔn)前言

b)。

本標(biāo)準(zhǔn)由中國(guó)人民銀行提出

。

本標(biāo)準(zhǔn)由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本標(biāo)準(zhǔn)負(fù)責(zé)起草單位中國(guó)金融電子化公司

:。

本標(biāo)準(zhǔn)參加起草單位中國(guó)人民銀行中國(guó)銀行中國(guó)工商銀行中國(guó)銀聯(lián)股份有限公司中國(guó)科學(xué)

:、、、、

院軟件研究所中國(guó)人民銀行興化中心支行

、。

本標(biāo)準(zhǔn)主要起草人王平娃陸書春李曙光仲志輝張凡賈樹輝趙志蘭景蕓劉運(yùn)冉平

:、、、、、、、、、、

王治綱周燕媚

、。

Ⅲ

GB/T27913—2011

引言

隨著金融服務(wù)業(yè)對(duì)互聯(lián)網(wǎng)技術(shù)應(yīng)用的不斷擴(kuò)大金融行業(yè)對(duì)提供安全的機(jī)密的和可信賴的金融交

,、

易及處理系統(tǒng)方面的需求不斷增長(zhǎng)從而導(dǎo)致了先進(jìn)安全技術(shù)與公鑰密碼學(xué)的結(jié)合公鑰密碼學(xué)需要

,。

業(yè)務(wù)優(yōu)化的技術(shù)管理和策略基礎(chǔ)設(shè)施本文中定義為公鑰基礎(chǔ)設(shè)施或來(lái)滿足金融應(yīng)用系統(tǒng)中電

、(PKI)

子標(biāo)識(shí)鑒別報(bào)文完整性保護(hù)和授權(quán)的要求中電子標(biāo)識(shí)鑒別和授權(quán)標(biāo)準(zhǔn)的應(yīng)用進(jìn)一步確保了

、、。PKI、

系統(tǒng)安全的一致性可預(yù)測(cè)性和電子交易的可信任性

、。

數(shù)字簽名和技術(shù)可用于開發(fā)金融服務(wù)業(yè)的應(yīng)用這些應(yīng)用的安全和有效性部分依賴于確保

PKI。

基礎(chǔ)設(shè)施整體完整性的實(shí)踐對(duì)于將個(gè)人身份與其他實(shí)體和密鑰要素如密鑰關(guān)聯(lián)起來(lái)的基于授權(quán)的

。()

系統(tǒng)其用戶可以從標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理系統(tǒng)和本標(biāo)準(zhǔn)定義的可審計(jì)業(yè)務(wù)基礎(chǔ)中受益

,。

國(guó)際標(biāo)準(zhǔn)化組織技術(shù)委員會(huì)的成員已經(jīng)通過制定數(shù)字簽名密鑰管理證書管理和數(shù)據(jù)加

TC68、、

密的技術(shù)標(biāo)準(zhǔn)和指南確定了公鑰技術(shù)第和第部分定義了供金融業(yè)使用的證書管理系

。ISO1578212

統(tǒng)但沒有包括證書策略和認(rèn)證業(yè)務(wù)要求本標(biāo)準(zhǔn)制定了通過證書策略認(rèn)證業(yè)務(wù)說(shuō)明控制目標(biāo)和控

,。、、

制程序來(lái)管理的框架對(duì)第和第部分進(jìn)行補(bǔ)充對(duì)這些標(biāo)準(zhǔn)的實(shí)現(xiàn)者來(lái)說(shuō)金融交

PKI,ISO1578212。,

易中的實(shí)體可以依賴標(biāo)準(zhǔn)實(shí)現(xiàn)的程度以及使用這些國(guó)際標(biāo)準(zhǔn)達(dá)到的間的互操作的程度都將

PKIPKI,

部分依賴于本標(biāo)準(zhǔn)中定義的與策略和實(shí)施相關(guān)的因素

。

Ⅳ

GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實(shí)施和策略框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了通過證書策略和認(rèn)證業(yè)務(wù)說(shuō)明對(duì)進(jìn)行管理以及將公鑰證書用于金融服務(wù)行業(yè)

PKI,

的要求框架同時(shí)也定義了風(fēng)險(xiǎn)管理的控制目標(biāo)和控制程序

。。

本標(biāo)準(zhǔn)適用于開放封閉和契約環(huán)境中的系統(tǒng)進(jìn)行區(qū)分并且根據(jù)金融服務(wù)行業(yè)信息系統(tǒng)控

、PKI,

制目標(biāo)進(jìn)一步定義了運(yùn)行的業(yè)務(wù)本標(biāo)準(zhǔn)的目的在于幫助實(shí)施者定義支持多證書策略的業(yè)務(wù)包

。PKI,

括數(shù)字簽名遠(yuǎn)程鑒別和數(shù)字加密的使用

、。

本標(biāo)準(zhǔn)使得契約環(huán)境中滿足金融服務(wù)行業(yè)要求且基于控制的業(yè)務(wù)的可操作性更易于實(shí)現(xiàn)

PKI。

盡管本標(biāo)準(zhǔn)主要針對(duì)契約環(huán)境但并不排除將文檔應(yīng)用于其他環(huán)境文檔中術(shù)語(yǔ)證書是指公鑰證書

,。“”。

屬性證書不在本標(biāo)準(zhǔn)范圍之內(nèi)

。

本標(biāo)準(zhǔn)的目標(biāo)是針對(duì)不同需求的多種使用者因此每類使用者會(huì)關(guān)注不同的內(nèi)容

,。

業(yè)務(wù)管理者和分析者是那些需要在開展的業(yè)務(wù)中使用技術(shù)的人員應(yīng)關(guān)注第第章

PKI,1~6。

技術(shù)設(shè)計(jì)者和實(shí)現(xiàn)者是那些編寫他們的證書策略和認(rèn)證業(yè)務(wù)說(shuō)明的人員應(yīng)關(guān)注第第章以

,6~8,

及附錄附錄

A~F。

運(yùn)行管理和審計(jì)者是那些負(fù)責(zé)系統(tǒng)日常運(yùn)行并根據(jù)本標(biāo)準(zhǔn)進(jìn)行一致性檢查的人員應(yīng)關(guān)注

PKI,

第第章

6~8。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是比不可少的凡是