GB/T 27928.1-2011金融業(yè)務(wù)證書管理第1部分：公鑰證書

ICS3524040

A11..

中華人民共和國國家標準

GB/T279281—2011

.

金融業(yè)務(wù)證書管理

第1部分公鑰證書

:

Certificatemanagementforfinancialservices—

Part1Publickecertificates

:y

(ISO15782-1:2003,MOD)

2011-12-30發(fā)布2012-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T279281—2011

.

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

32

符號和縮略語……………

47

公鑰基礎(chǔ)設(shè)施……………

58

認證機構(gòu)系統(tǒng)……………

610

數(shù)據(jù)元和關(guān)系……………

723

公鑰證書和證書撤銷列表擴展項………………………

831

附錄規(guī)范性附錄模塊……………………

A()ASN.139

附錄規(guī)范性附錄參數(shù)和參數(shù)繼承…………………

B()54

附錄規(guī)范性附錄金融機構(gòu)第版證書擴展項框架………………

C()355

附錄規(guī)范性附錄對象標識符和屬性………………

D()64

附錄規(guī)范性附錄公鑰及相關(guān)參數(shù)的編碼…………

E()65

附錄規(guī)范性附錄認證機構(gòu)審計日志的內(nèi)容和使用………………

F()71

附錄資料性附錄可選的信任模型…………………

G()74

附錄資料性附錄接受證書請求數(shù)據(jù)的建議要求…………………

H()79

附錄資料性附錄災難恢復的認證機構(gòu)技術(shù)………

I()81

附錄資料性附錄證書和證書撤銷列表的分發(fā)……………………

J()83

參考文獻……………………

84

Ⅰ

GB/T279281—2011

.

前言

在總標題銀行業(yè)務(wù)證書管理下包括以下個部分

GB/T27928“”,2:

第部分公鑰證書

———1:;

第部分證書擴展項

———2:。

本部分為的第部分

GB/T279281。

本部分修改采用銀行業(yè)務(wù)證書管理第部分公鑰證書英文版

ISO15782-1:2003《1:》()。

本部分根據(jù)重新起草與的技術(shù)性差異及原因為

ISO15782-1:2003,ISO15782-1:2003:

刪去規(guī)范性引用文件中對下列文件的引用

a)“2”:

金融服務(wù)業(yè)使用不可逆算法的公鑰密碼第部分數(shù)字簽名算法

ANSX9.30-11:(DSA);

金融服務(wù)業(yè)使用可逆算法的公鑰密碼第部分簽名算法

ANSX9.31-11:RSA;

金融服務(wù)業(yè)公鑰密碼橢圓曲線數(shù)字簽名算法

ANSX9.62:(ECDSA)。

中宜使用標準化或國家的密碼技術(shù)和密碼模塊用于符合金融業(yè)使用要求

b)6.2.1.2d):“(ISO),

的級安全模塊修改為宜使用國家的密碼技術(shù)和密碼模塊用于符合金融業(yè)使用要求的

4?！?“,

級安全模塊

4”。

刪去原英文標準中公鑰分發(fā)中如下文字

c)“6.3.5CA”:

對高風險應用應使用附錄中定義的或者單單

,ISO9807:1991,C3DESMAC,DESMAC,

使用不同密鑰對每一個數(shù)據(jù)庫或緩沖區(qū)的條目進行簽名對中低風險應用使用

DESMAC。,

任何核準的密鑰管理標準的單就足夠了并刪去本節(jié)最后一段中如

TC68DESMAC。“DSA

和

RSA”。

把最后一段中原文自動化的審計日志應保護以防止修改或替換哈希和數(shù)字簽名的

d)6.4.2“。

使用可遵循和中規(guī)定修改為自動化的審計日志應保

ANSX9.30,ANSX9.31ANSX9.62”“

護以防止修改或替換哈希和數(shù)字簽名的使用應遵循我國密碼管理部門的規(guī)定

。?！?/p>

刪去附錄標題的注釋對慎重的基于日志的算法如和刪

e)B:3):Diffie-HelIman,DSAECDSA;

除附錄示例因為該示例用了和的例子

B.3,DSARSA。

將附錄的腳注即將發(fā)布的修訂版因為其對應的國家標準

f)E“4)(ISO8824-2:1998)”,

已經(jīng)發(fā)布

GB/T16262.2—2006。

刪去附錄資料性附錄因為其中引用了等例子

g)I(),DSA。

刪除因為與重復

h)5.5,3.33。

為便于使用本部分還做了下列編輯性修改

,:

對規(guī)范性引用文件中所引用的國際標準有相應國家標準的改為引用國家標準

a),,;

刪除前言

b)ISO。

附錄附錄為規(guī)范性附錄附錄附錄為資料性附錄

A~F。G~J。

本部分由中國人民銀行提出

。

本部分由全國金融標準化技術(shù)委員會歸口

(SAC/TC180)。

本部分負責起草單位中國金融電子化公司

:。

本部分參加起草單位中國人民銀行中國工商銀行中國農(nóng)業(yè)銀行中國建設(shè)銀行交通銀行中國

:、、、、、

銀聯(lián)股份有限公司華北計算技術(shù)研究所北京工商大學

、、。

本部分主要起草人王平娃陸書春李曙光呂毅楊穎莉劉運林中張啟瑞仲志暉景蕓周亦鵬

:、、、、、、、、、、、

錢湘隆趙金波曹文中李勁松劉先

、、、、。

Ⅲ

GB/T279281—2011

.

引言

的本部分在金融服務(wù)業(yè)方面采納了部分定義了證書管理的過程和數(shù)

GB/T27928GB/T16264.8,

據(jù)元

。

即將轉(zhuǎn)化我國國家標準給出了金融業(yè)對獨立擴展項的詳細需求

ISO15782-2()。

雖然本部分所描述的技術(shù)是用于保證金融報文的完整性和支持不可否認服務(wù)但本部分不能保證

,

一個特定的執(zhí)行是安全的金融機構(gòu)有責任在全過程的適當位置加入必要的控制以確保這些過程被安

。

全地執(zhí)行這些控制包括為了驗證符合性而應用適當?shù)膶徲嫓y試

。。

證明公鑰擁有者的身份和公鑰的綁定是為了證實對應私鑰的所有權(quán)該綁定稱作公鑰證書公鑰

。。

證書由可信實體認證機構(gòu)生成

———(CA)。

本部分的正確執(zhí)行應以保證綁定了實體用于文件包括電匯和合同簽名的密鑰和實體身份為

()

前提

。

本部分定義了用于鑒別的證書管理框架包括鑒別加密密鑰

,。

本部分所描述的技術(shù)能應用于合法實體實體之間發(fā)起的業(yè)務(wù)關(guān)系

()。

Ⅳ

GB/T279281—2011

.

金融業(yè)務(wù)證書管理

第1部分公鑰證書

:

1范圍

的本部分定義了用于法人和自然人的金融業(yè)證書管理系統(tǒng)包括

GB/T27928,:

憑證和證書內(nèi)容

———;

證書授權(quán)系統(tǒng)包括用于數(shù)字簽名和加密密鑰管理的證書

———,;

證書的生成分發(fā)驗證和更新

———、、;

鑒別結(jié)構(gòu)和認證路徑

———;

撤銷和恢復程序

———;

公鑰證書和證書撤銷列表的定義擴展項

———。

本標準適用于金融行業(yè)中公鑰證書的管理

。

的本部分也推薦了一些有用的操作程序例如分發(fā)機制對所提交憑證的接受標準

GB/T27928(,,)。

的本部分的執(zhí)行也將基于業(yè)務(wù)風險和法律要求

GB/T27928。

的本部分不包括以下內(nèi)容

GB/T27928:

在證書管理過程中各參與方之間使用的協(xié)議報文

———;

對公證人和時間戳的要求

———;

證書策略和認證行為的要求

———;

可信第三方的要求

———;

屬性證書

———。

雖然本部分規(guī)定了證書可包括用于加密密鑰的公鑰管理生成的相關(guān)方面但并未說明加密密鑰

(),

的生成與傳輸

。

希望遵守的實施者可以采用該標準定義的證書結(jié)構(gòu)希望實現(xiàn)兼容證書和證書撤

GB/T16264.8。

銷結(jié)構(gòu)而沒有系列相關(guān)的頭字段的實施者可以采用附錄中所定義的結(jié)構(gòu)

X.500AASN.1。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的