ICS3524040

CCSA.11.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T27913—2022

代替GB/T27913—2011

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

ISO211882018MOD

(:,)

2022-04-15發(fā)布2022-04-15實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T27913—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

縮略語

4……………………8

公鑰基礎(chǔ)設(shè)施

5(PKI)……………………9

概述

5.1…………………9

簡介

5.2PKI……………9

商業(yè)要求對環(huán)境的影響

5.3PKI……………………11

認(rèn)證機構(gòu)

5.4……………14

商業(yè)視角

5.5……………14

證書策略

5.6(CP)……………………17

認(rèn)證業(yè)務(wù)說明

5.7(CPS)………………19

協(xié)議

5.8…………………20

時間戳

5.9………………21

信任模型

5.10…………………………21

證書策略和認(rèn)證業(yè)務(wù)說明要求

6…………23

證書策略

6.1(CP)……………………23

認(rèn)證業(yè)務(wù)說明

6.2(CPS)………………25

認(rèn)證機構(gòu)控制規(guī)程

7………………………25

概述

7.1…………………25

環(huán)境控制

7.2CA………………………26

密鑰生命周期管理控制

7.3CA………………………40

主體密鑰生命周期管理控制

7.4………………………45

證書生命周期管理控制

7.5……………50

證書生命周期管理控制

7.6CA………………………57

從屬證書生命周期管理

7.7CA………………………58

附錄資料性根據(jù)證書策略進(jìn)行管理

A()………………60

附錄資料性認(rèn)證業(yè)務(wù)說明的要素

B()…………………68

附錄資料性對象標(biāo)識符

C()(OID)……………………81

附錄資料性密鑰生成過程

D()CA……………………83

附錄資料性將映射到

E()RFC2527RFC3647……………………86

附錄規(guī)范性認(rèn)證機構(gòu)審計日志內(nèi)容及使用

F()………87

附錄資料性可選的信任模型

G()………………………90

參考文獻(xiàn)

……………………100

Ⅰ

GB/T27913—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架與

GB/T27913—2011《》,GB/T27913—

相比除編輯性改動外主要技術(shù)變化如下

2011,,:

刪除了業(yè)務(wù)持續(xù)性考慮遵照的附錄見年版的

———“ISO15782-1:2003J”(2011D.4);

修改應(yīng)由授權(quán)人執(zhí)行為由授權(quán)人員啟動的過程來執(zhí)行見年版

———“”“”(7.4.1,20118.4.1);

增加了關(guān)于兩個或多個可以加入用于相互識別的公共方案見

———“CA”(5.4);

增加了關(guān)于的負(fù)責(zé)管理人員應(yīng)能夠證明信息安全策略得到實施和遵守和宜存在并執(zhí)

———“CA”“

行考慮業(yè)務(wù)與技術(shù)因素的風(fēng)險評估的規(guī)程以識別分析評價可信服務(wù)風(fēng)險風(fēng)險評估的結(jié)

,、、。

果應(yīng)傳達(dá)給負(fù)責(zé)信息安全和風(fēng)險管理的管理組或委員會部分內(nèi)容見

”(7.2.2)。

本文件修改采用用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施實施和策略框架

ISO21188:2018《》。

本文件與的技術(shù)性差異及其原因如下

ISO21188:2018:

刪除了全文中美國聯(lián)邦信息處理標(biāo)準(zhǔn)的相關(guān)術(shù)語和涉及的引用選擇使

———FIPS()FIPS140-2,

用以適應(yīng)我國密碼管理的要求

ISO19790,。

增加了第章中對

———2GB/T16649.1~GB/T16649.12、GB/T16649.15、GB/T18336.1—2015、

的引用

GB/T18336.2—2015、GB/T18336.3—2015。

刪除了第章中的存儲區(qū)域網(wǎng)絡(luò)該詞匯在中

———4SAN(storageareanetwork,),ISO21188:2018

未出現(xiàn)

。

增加了第章中主體替換名稱和擴展型驗證這些詞匯在本文件中出現(xiàn)

———4SAN()EV(),。

更改了中提及的如及所示為如及所示中

———5.7.1“5.7.35.7.6”“5.7.25.7.6”,ISO21188:2018

引用錯誤

。

刪除了附錄的中出現(xiàn)的見中引用錯誤

———DD.3“(0)”,ISO21188:2018。

本文件做了下列編輯性修改

:

刪除了中涉及美國國防部的有關(guān)示例

———5.10DOD()。

本文件由中國人民銀行提出

。

本文件由全國金融標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC180)。

本文件起草單位中國人民銀行中金金融認(rèn)證中心有限公司重慶工商大學(xué)山東財經(jīng)大學(xué)北京

:、、、、

國家金融標(biāo)準(zhǔn)化研究院有限責(zé)任公司中國科學(xué)院信息工程研究所

、。

本文件主要起草人李偉胡瑩楊富玉李達(dá)曲維民甄杰董坤祥馮蕾謝宗曉馬春旺趙改俠

:、、、、、、、、、、、

王自沖曹劍鋒李家琪謝彥麗薄舜添賀宇熊剛茍高鵬

、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2011GB/T27913—2011;

本次為第一次修訂

———。

Ⅲ

GB/T27913—2022

引言

隨著金融服務(wù)業(yè)對互聯(lián)網(wǎng)技術(shù)應(yīng)用的不斷擴大金融行業(yè)對提供安全的機密的和可信賴的金融交

,、

易及處理系統(tǒng)方面的需求不斷增長從而導(dǎo)致了先進(jìn)安全技術(shù)與公鑰密碼學(xué)的結(jié)合公鑰密碼學(xué)需要

,。

業(yè)務(wù)優(yōu)化的技術(shù)管理和策略基礎(chǔ)設(shè)施本文件中定義為公鑰基礎(chǔ)設(shè)施或來滿足金融應(yīng)用系統(tǒng)中

、(PKI)

電子標(biāo)識鑒別報文完整性保護(hù)和授權(quán)的要求中電子標(biāo)識鑒別和授權(quán)標(biāo)準(zhǔn)的應(yīng)用進(jìn)一步確保

、、。PKI、

了系統(tǒng)安全的一致性可預(yù)測性和電子交易的可信任性

、。

在我國數(shù)字簽名和技術(shù)可用于開發(fā)金融服務(wù)業(yè)的應(yīng)用這些應(yīng)用的安全性和有效性部分依

,PKI。

賴于確保基礎(chǔ)設(shè)施整體完整性的實踐對于將個人身份與其他實體和密鑰要素如密鑰關(guān)聯(lián)起來的基

。()

于授權(quán)的系統(tǒng)其用戶可以從標(biāo)準(zhǔn)的風(fēng)險管理系統(tǒng)和本文件定義的可審計業(yè)務(wù)基礎(chǔ)中受益

,。

本文件制定了通過證書策略認(rèn)證業(yè)務(wù)說明控制目標(biāo)和控制規(guī)程來管理的框架對這些標(biāo)

、、PKI。

準(zhǔn)的實現(xiàn)者來說我國金融交易中的實體可以依賴本文件實現(xiàn)的程度以及使用本文件達(dá)到的間的

,PKI

互操作的程度都將依賴于本文件中定義的與策略和實施相關(guān)的因素

,。

Ⅳ

GB/T27913—2022

用于金融服務(wù)的公鑰基礎(chǔ)設(shè)施

實施和策略框架

1范圍

本文件規(guī)定了通過證書策略和認(rèn)證業(yè)務(wù)說明對進(jìn)行管理以及將公鑰證書用于金融服務(wù)行業(yè)

PKI,

的要求框架同時也定義了風(fēng)險管理的控制目標(biāo)和控制規(guī)程雖然本文件可能用于處理數(shù)字簽名或密

。。

鑰建立的公鑰證書的生成但它不會用于處理身份驗證方法不可否認(rèn)性要求或密鑰管理協(xié)議

,、。

本文件適用于對開放封閉和契約環(huán)境中的系統(tǒng)進(jìn)行區(qū)分并且根據(jù)金融服務(wù)行業(yè)信息系統(tǒng)

、PKI,

控制目標(biāo)進(jìn)一步定義了運行的業(yè)務(wù)本文件的目的在于幫助實施者定義支持多證書策略的業(yè)務(wù)

。PKI,

包括數(shù)字簽名遠(yuǎn)程鑒別密鑰交換和數(shù)據(jù)加密的使用

、、。

本文件使得契約環(huán)境中滿足金融服務(wù)行業(yè)要求且基于控制的業(yè)務(wù)的可操作性更易于實現(xiàn)

PKI。

盡管本文件主要針對契約環(huán)境但并不排除將文檔應(yīng)用于其他環(huán)境文檔中術(shù)語證書是指公鑰證書

,。“”。

屬性證書不在本文件范圍之內(nèi)

。

本文件的目標(biāo)是針對不同需求的多種使用者因此每類使用者會關(guān)注不同的內(nèi)容

,。

業(yè)務(wù)管理者和分析者是那些需要在開展的業(yè)務(wù)中使用技術(shù)的人員例如電子商務(wù)見第

PKI(,),1

章第章

~6。

技術(shù)設(shè)計者和實現(xiàn)者是那些編寫證書策略和認(rèn)證業(yè)務(wù)說明的人員見第章第章以及附錄附

,6~7,A~

錄

G。

運行管理和審計者是那些負(fù)責(zé)系統(tǒng)日常運行并根據(jù)本文件進(jìn)行一致性檢查的人員見第章第

PKI,6~

章

7。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,