ICS3524040

CCSA.11.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T27913—2022

代替GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實(shí)施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

ISO211882018MOD

(:,)

2022-04-15發(fā)布2022-04-15實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T27913—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………2

縮略語(yǔ)

4……………………8

公鑰基礎(chǔ)設(shè)施

5(PKI)……………………9

概述

5.1…………………9

簡(jiǎn)介

5.2PKI……………9

商業(yè)要求對(duì)環(huán)境的影響

5.3PKI……………………11

認(rèn)證機(jī)構(gòu)

5.4……………14

商業(yè)視角

5.5……………14

證書(shū)策略

5.6(CP)……………………17

認(rèn)證業(yè)務(wù)說(shuō)明

5.7(CPS)………………19

協(xié)議

5.8…………………20

時(shí)間戳

5.9………………21

信任模型

5.10…………………………21

證書(shū)策略和認(rèn)證業(yè)務(wù)說(shuō)明要求

6…………23

證書(shū)策略

6.1(CP)……………………23

認(rèn)證業(yè)務(wù)說(shuō)明

6.2(CPS)………………25

認(rèn)證機(jī)構(gòu)控制規(guī)程

7………………………25

概述

7.1…………………25

環(huán)境控制

7.2CA………………………26

密鑰生命周期管理控制

7.3CA………………………40

主體密鑰生命周期管理控制

7.4………………………45

證書(shū)生命周期管理控制

7.5……………50

證書(shū)生命周期管理控制

7.6CA………………………57

從屬證書(shū)生命周期管理

7.7CA………………………58

附錄資料性根據(jù)證書(shū)策略進(jìn)行管理

A()………………60

附錄資料性認(rèn)證業(yè)務(wù)說(shuō)明的要素

B()…………………68

附錄資料性對(duì)象標(biāo)識(shí)符

C()(OID)……………………81

附錄資料性密鑰生成過(guò)程

D()CA……………………83

附錄資料性將映射到

E()RFC2527RFC3647……………………86

附錄規(guī)范性認(rèn)證機(jī)構(gòu)審計(jì)日志內(nèi)容及使用

F()………87

附錄資料性可選的信任模型

G()………………………90

參考文獻(xiàn)

……………………100

Ⅰ

GB/T27913—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實(shí)施和策略框架與

GB/T27913—2011《》,GB/T27913—

相比除編輯性改動(dòng)外主要技術(shù)變化如下

2011,,:

刪除了業(yè)務(wù)持續(xù)性考慮遵照的附錄見(jiàn)年版的

———“ISO15782-1:2003J”(2011D.4);

修改應(yīng)由授權(quán)人執(zhí)行為由授權(quán)人員啟動(dòng)的過(guò)程來(lái)執(zhí)行見(jiàn)年版

———“”“”(7.4.1,20118.4.1);

增加了關(guān)于兩個(gè)或多個(gè)可以加入用于相互識(shí)別的公共方案見(jiàn)

———“CA”(5.4);

增加了關(guān)于的負(fù)責(zé)管理人員應(yīng)能夠證明信息安全策略得到實(shí)施和遵守和宜存在并執(zhí)

———“CA”“

行考慮業(yè)務(wù)與技術(shù)因素的風(fēng)險(xiǎn)評(píng)估的規(guī)程以識(shí)別分析評(píng)價(jià)可信服務(wù)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)

,、、。

果應(yīng)傳達(dá)給負(fù)責(zé)信息安全和風(fēng)險(xiǎn)管理的管理組或委員會(huì)部分內(nèi)容見(jiàn)

”(7.2.2)。

本文件修改采用用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實(shí)施和策略框架

ISO21188:2018《》。

本文件與的技術(shù)性差異及其原因如下

ISO21188:2018:

刪除了全文中美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)的相關(guān)術(shù)語(yǔ)和涉及的引用選擇使

———FIPS()FIPS140-2,

用以適應(yīng)我國(guó)密碼管理的要求

ISO19790,。

增加了第章中對(duì)

———2GB/T16649.1~GB/T16649.12、GB/T16649.15、GB/T18336.1—2015、

的引用

GB/T18336.2—2015、GB/T18336.3—2015。

刪除了第章中的存儲(chǔ)區(qū)域網(wǎng)絡(luò)該詞匯在中

———4SAN(storageareanetwork,),ISO21188:2018

未出現(xiàn)

。

增加了第章中主體替換名稱(chēng)和擴(kuò)展型驗(yàn)證這些詞匯在本文件中出現(xiàn)

———4SAN()EV(),。

更改了中提及的如及所示為如及所示中

———5.7.1“5.7.35.7.6”“5.7.25.7.6”,ISO21188:2018

引用錯(cuò)誤

。

刪除了附錄的中出現(xiàn)的見(jiàn)中引用錯(cuò)誤

———DD.3“(0)”,ISO21188:2018。

本文件做了下列編輯性修改

:

刪除了中涉及美國(guó)國(guó)防部的有關(guān)示例

———5.10DOD()。

本文件由中國(guó)人民銀行提出

。

本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本文件起草單位中國(guó)人民銀行中金金融認(rèn)證中心有限公司重慶工商大學(xué)山東財(cái)經(jīng)大學(xué)北京

:、、、、

國(guó)家金融標(biāo)準(zhǔn)化研究院有限責(zé)任公司中國(guó)科學(xué)院信息工程研究所

、。

本文件主要起草人李偉胡瑩楊富玉李達(dá)曲維民甄杰董坤祥馮蕾謝宗曉馬春旺趙改俠

:、、、、、、、、、、、

王自沖曹劍鋒李家琪謝彥麗薄舜添賀宇熊剛茍高鵬

、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2011GB/T27913—2011;

本次為第一次修訂

———。

Ⅲ

GB/T27913—2022

引言

隨著金融服務(wù)業(yè)對(duì)互聯(lián)網(wǎng)技術(shù)應(yīng)用的不斷擴(kuò)大金融行業(yè)對(duì)提供安全的機(jī)密的和可信賴(lài)的金融交

,、

易及處理系統(tǒng)方面的需求不斷增長(zhǎng)從而導(dǎo)致了先進(jìn)安全技術(shù)與公鑰密碼學(xué)的結(jié)合公鑰密碼學(xué)需要

,。

業(yè)務(wù)優(yōu)化的技術(shù)管理和策略基礎(chǔ)設(shè)施本文件中定義為公鑰基礎(chǔ)設(shè)施或來(lái)滿(mǎn)足金融應(yīng)用系統(tǒng)中

、(PKI)

電子標(biāo)識(shí)鑒別報(bào)文完整性保護(hù)和授權(quán)的要求中電子標(biāo)識(shí)鑒別和授權(quán)標(biāo)準(zhǔn)的應(yīng)用進(jìn)一步確保

、、。PKI、

了系統(tǒng)安全的一致性可預(yù)測(cè)性和電子交易的可信任性

、。

在我國(guó)數(shù)字簽名和技術(shù)可用于開(kāi)發(fā)金融服務(wù)業(yè)的應(yīng)用這些應(yīng)用的安全性和有效性部分依

,PKI。

賴(lài)于確保基礎(chǔ)設(shè)施整體完整性的實(shí)踐對(duì)于將個(gè)人身份與其他實(shí)體和密鑰要素如密鑰關(guān)聯(lián)起來(lái)的基

。()

于授權(quán)的系統(tǒng)其用戶(hù)可以從標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理系統(tǒng)和本文件定義的可審計(jì)業(yè)務(wù)基礎(chǔ)中受益

,。

本文件制定了通過(guò)證書(shū)策略認(rèn)證業(yè)務(wù)說(shuō)明控制目標(biāo)和控制規(guī)程來(lái)管理的框架對(duì)這些標(biāo)

、、PKI。

準(zhǔn)的實(shí)現(xiàn)者來(lái)說(shuō)我國(guó)金融交易中的實(shí)體可以依賴(lài)本文件實(shí)現(xiàn)的程度以及使用本文件達(dá)到的間的

,PKI

互操作的程度都將依賴(lài)于本文件中定義的與策略和實(shí)施相關(guān)的因素

,。

Ⅳ

GB/T27913—2022

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實(shí)施和策略框架

1范圍

本文件規(guī)定了通過(guò)證書(shū)策略和認(rèn)證業(yè)務(wù)說(shuō)明對(duì)進(jìn)行管理以及將公鑰證書(shū)用于金融服務(wù)行業(yè)

PKI,

的要求框架同時(shí)也定義了風(fēng)險(xiǎn)管理的控制目標(biāo)和控制規(guī)程雖然本文件可能用于處理數(shù)字簽名或密

。。

鑰建立的公鑰證書(shū)的生成但它不會(huì)用于處理身份驗(yàn)證方法不可否認(rèn)性要求或密鑰管理協(xié)議

,、。

本文件適用于對(duì)開(kāi)放封閉和契約環(huán)境中的系統(tǒng)進(jìn)行區(qū)分并且根據(jù)金融服務(wù)行業(yè)信息系統(tǒng)

、PKI,

控制目標(biāo)進(jìn)一步定義了運(yùn)行的業(yè)務(wù)本文件的目的在于幫助實(shí)施者定義支持多證書(shū)策略的業(yè)務(wù)

。PKI,

包括數(shù)字簽名遠(yuǎn)程鑒別密鑰交換和數(shù)據(jù)加密的使用

、、。

本文件使得契約環(huán)境中滿(mǎn)足金融服務(wù)行業(yè)要求且基于控制的業(yè)務(wù)的可操作性更易于實(shí)現(xiàn)

PKI。

盡管本文件主要針對(duì)契約環(huán)境但并不排除將文檔應(yīng)用于其他環(huán)境文檔中術(shù)語(yǔ)證書(shū)是指公鑰證書(shū)

,。“”。

屬性證書(shū)不在本文件范圍之內(nèi)

。

本文件的目標(biāo)是針對(duì)不同需求的多種使用者因此每類(lèi)使用者會(huì)關(guān)注不同的內(nèi)容

,。

業(yè)務(wù)管理者和分析者是那些需要在開(kāi)展的業(yè)務(wù)中使用技術(shù)的人員例如電子商務(wù)見(jiàn)第

PKI(,),1

章第章

~6。

技術(shù)設(shè)計(jì)者和實(shí)現(xiàn)者是那些編寫(xiě)證書(shū)策略和認(rèn)證業(yè)務(wù)說(shuō)明的人員見(jiàn)第章第章以及附錄附

,6~7,A~

錄

G。

運(yùn)行管理和審計(jì)者是那些負(fù)責(zé)系統(tǒng)日常運(yùn)行并根據(jù)本文件進(jìn)行一致性檢查的人員見(jiàn)第章第

PKI,6~

章

7。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,