路径: 主页 > GB/T > 第701页 > GB/T 27913-2011 | 标准编号 | GB/T 27913-2011 (GB/T27913-2011) | | 中文名称 | 用于金融服务的公钥基础设施 实施和策略框架 | | 英文名称 | Public key infrastructure for financial services -- Practices and policy framework | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 35.240.40 | | 字数估计 | 91,939 | | 发布日期 | 2011-12-30 | | 实施日期 | 2012-02-01 | | 引用标准 | GB 13000.1; GB/T 14916; GB/T 15120.1; GB/T 15120.2; GB/T 15120.3; GB/T 15120.4; GB/T 15120.5; GB/T 16264.8-2005; GB/T 16649.1; GB/T 16649.2; GB/T 16649.3; GB/T 16649.5; GB/T 16649.6; GB/T 16649.7; GB/T 16649.8; GB/T 16649.10; GB/T 16790.1; GB/T 16790.5; GB/T 16790.6; GB/T 1 | | 采用标准 | ISO 21188-2006, MOD | | 标准依据 | 国家标准批准发布公告2011年第23号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了通过证书策略和认证业务说明对PKI进行管理, 以及将公钥证书用于金融服务行业的要求框架。同时也为定义了风险管理的控制目标和控制程序。本标准适用于开放、封闭和契约环境中的PKI系统进行区分, 并且根据金融服务行业信息系统控制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略和PKI业务, 包括数字签名、远程鉴别和数字加密的使用。 | GB/T 27913-2011
Public key infrastructure for financial services.Practices and policy framework
ICS 35.240.40
A11
中华人民共和国国家标准
用于金融服务的公钥基础设施
实施和策略框架
(ISO 21188:2006,MOD)
2011-12-30发布
2012-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 3
4 缩略语 8
5 公钥基础设施(PKI) 9
5.1 概述 9
5.2 PKI简介 9
5.3 商业要求对PKI环境的影响 10
5.4 功能 14
5.5 商业视角 17
5.6 证书策略(CP) 18
5.7 认证业务说明(CPS) 20
5.8 证书策略和认证业务说明间的关系 21
5.9 协议 21
5.10 时间戳 22
6 证书策略和认证业务说明要求 23
6.1 证书策略(CP) 23
6.2 认证业务说明(CPS) 24
7 认证机构控制目标 25
7.1 概述 25
7.2 CA环境控制目标 25
7.3 CA密钥生命周期管理控制目标 27
7.4 主体密钥生命周期管理控制目标 28
7.5 证书生命周期管理控制目标 28
7.6 CA证书生命周期管理控制 29
8 认证机构控制程序 30
8.1 概述 30
8.2 CA环境控制 30
8.3 CA密钥生命周期管理控制 41
8.4 主体密钥生命周期管理控制 44
8.5 证书生命周期管理控制 48
8.6 CA证书生命周期管理控制 53
附录A(资料性附录) 根据证书策略进行管理 55
A.1 证书策略引言和目的 55
A.2 证书策略的定义 55
A.3 在证书内建立策略 55
A.4 命名的证书策略下的证书适用性 57
A.5 交叉认证,证书链、策略映射和证书策略 57
A.6 证书类型 58
A.7 证书分类和命名 59
A.8 证书策略规定 60
A.9 证书策略管理 61
附录B(资料性附录) 认证业务说明的要素 62
B.1 概述 62
B.2 引言 62
B.3 一般规定 63
B.4 认证与鉴别 64
B.5 操作要求 66
B.6 物理的、程序性的和人员的安全控制 68
B.7 技术上的安全控制 69
B.8 证书和CRL框架 71
B.9 实施管理 72
附录C(资料性附录) 对象标识符(OID) 74
C.1 为什么有OID 74
C.2 什么是OID 74
C.3 OID的注册 74
C.4 为什么需要OID并且如何对它们进行管理 75
附录D(资料性附录) CA密钥生成过程 76
D.1 概述 76
D.2 角色和责任 76
D.3 CA密钥生成过程脚本 77
D.4 CA密钥生成过程程序 77
附录E(资料性附录) 将RFC2527映射到RFC3647 79
参考文献 85
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准修改采用ISO 21188:2006《用于金融服务的公钥基础设施 实施和策略框架》(英文版)。
本标准与ISO 21188:2006的技术性差异为:
a) 删除第4章中FIPS缩略语;
b) 删除缩略语PKIX,该缩略语在正文中没有出现;
c) 删除8.3.2中FIPS140-2的引用;
d) 删除8.4.3中FIPS140-2的引用;
e) 删除8.4.4中FIPS140-2的引用;
f) 删除B.7.3中FIPS140-2的引用;
g) 删除B.7.9中FIPS140-2的引用;
h) 删除参考文献中FIPS的引用。
对于ISO 21188做了下列编辑性修改:
a) “本国际标准”改为“本标准”;
b) 删除国际标准前言。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准负责起草单位:中国金融电子化公司。
本标准参加起草单位:中国人民银行、中国银行、中国工商银行、中国银联股份有限公司、中国科学
院软件研究所、中国人民银行兴化中心支行。
本标准主要起草人:王平娃、陆书春、李曙光、仲志辉、张凡、贾树辉、赵志兰、景芸、刘运、冉平、
王治纲、周燕媚。
引 言
随着金融服务业对互联网技术应用的不断扩大,金融行业对提供安全的、机密的和可信赖的金融交
易及处理系统方面的需求不断增长,从而导致了先进安全技术与公钥密码学的结合。公钥密码学需要
业务优化的技术、管理和策略基础设施(本文中定义为公钥基础设施或PKI)来满足金融应用系统中电
子标识、鉴别、报文完整性保护和授权的要求。PKI中电子标识、鉴别和授权标准的应用进一步确保了
系统安全的一致性、可预测性和电子交易的可信任性。
数字签名和PKI技术可用于开发金融服务业的应用。这些应用的安全和有效性部分依赖于确保
基础设施整体完整性的实践。对于将个人身份与其他实体和密钥要素(如密钥)关联起来的基于授权的
系统,其用户可以从标准的风险管理系统和本标准定义的可审计业务基础中受益。
国际标准化组织TC68技术委员会的成员已经通过制定数字签名、密钥管理、证书管理和数据加
密的技术标准和指南确定了公钥技术。ISO 15782第1和第2部分定义了供金融业使用的证书管理系
统,但没有包括证书策略和认证业务要求。本标准制定了通过证书策略、认证业务说明、控制目标和控
制程序来管理PKI的框架,对ISO 15782第1和第2部分进行补充。对这些标准的实现者来说,金融交
易中的实体可以依赖PKI标准实现的程度以及使用这些国际标准达到的PKI间的互操作的程度,都将
部分依赖于本标准中定义的与策略和实施相关的因素。
用于金融服务的公钥基础设施
实施和策略框架
1 范围
本标准规定了通过证书策略和认证业务说明对PKI进行管理,以及将公钥证书用于金融服务行业
的要求框架。同时也定义了风险管理的控制目标和控制程序。
本标准适用于开放、封闭和契约环境中的PKI系统进行区分,并且根据金融服务行业信息系统控
制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略的PKI业务,包
括数字签名、远程鉴别和数字加密的使用。
本标准使得契约环境中满足金融服务行业要求且基于PKI控制的业务的可操作性更易于实现。
尽管本标准主要针对契约环境,但并不排除将文档应用于其他环境。文档中术语“证书”是指公钥证书。
属性证书不在本标准范围之内。
本标准的目标是针对不同需求的多种使用者,因此每类使用者会关注不同的内容。
业务管理者和分析者是那些需要在开展的业务中使用PKI技术的人员,应关注第1~第6章。
技术设计者和实现者是那些编写他们的证书策略和认证业务说明的人员,应关注第6~第8章,以
及附录A~附录F。
运行管理和审计者是那些负责PKI系统日常运行并根据本标准进行一致性检查的人员,应关注
第6~第8章。
2 规范性引用文件
下列文件对于本文件的应用是比不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 13000.1 信息技术 通用多八位编码字符集(UCS) 第一部分:体系结构与基本多文种平面
(GB 13000.1-1993,idt,ISO/IEC 10646-1:1993)
GB/T 14916 识别卡 物理特性(GB/T 14916-2006,ISO/IEC 7810:2003,IDT)
GB/T 15120(所有部分) 识别卡 记录技术 (GB/T 15120.1~15120.5-1994,idt,ISO 7811-1~
7811-5:1985)
GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架(ISO/
IEC 9594-8:2001,IDT)
GB/T 16649.1 识别卡 带触点的集成电路卡 第1部分:物理特性(GB/T 16649.1-2006,
ISO/IEC 7816-1:1998,MOD)
GB/T 16649.2 识别卡 带触点的集成电路卡 第2部分:触点的尺寸和位置(GB/T 16649.2-
2006,ISO/IEC 7816-2:1999,IDT)
GB/T 16649.3 识别卡 带触点的集成电路卡 第3部分:电信号和传输协议(GB/......
|