| 标准编号 | GB/T 27928.1-2011 (GB/T27928.1-2011) | | 中文名称 | 金融业务 证书管理 第1部分:公钥证书 | | 英文名称 | Certificate management for financial services -- Part 1: Public key certificates | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 35.240.40 | | 字数估计 | 89,853 | | 发布日期 | 2011-12-30 | | 实施日期 | 2012-05-01 | | 引用标准 | GB/T 16262.1; GB/T 16262.2-2006; GB/T 16262.3; GB/T 16262.4; GB/T 16263.1; GB/T 16263.2; GB/T 16264.8; ISO 15782-2-2001; ISO/IEC 9594-2; ISO/IEC 9594-6; ISO/IEC 9834-1-1993; ISO/IEC 15408-1; ISO/IEC 15408-2; ISO/IEC 15408-3 | | 采用标准 | ISO 15782-1-2003, MOD | | 标准依据 | 国家标准批准发布公告2011年第23号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | GB/T 27928的本部分定义了用于法人和自然人金融业证书管理系统。本部分适用于金融行业中公钥证书的管理。虽然本部分规定了证书(可包括用于加密密钥的公钥管理)生成的相关方面, 但并未说明加密密钥的生成与传输。 | GB/T 27928.1-2011
Certificate management for financial services.Part 1: Public key certificates
ICS 35.240.40
A11
中华人民共和国国家标准
金融业务 证书管理
第1部分:公钥证书
(ISO 15782-1:2003,MOD)
2011-12-30发布
2012-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 符号和缩略语 7
5 公钥基础设施 8
6 认证机构系统 10
7 数据元和关系 23
8 公钥证书和证书撤销列表扩展项 31
附录A(规范性附录) ASN.1模块 39
附录B(规范性附录) 参数和参数继承 54
附录C(规范性附录) 金融机构第3版证书扩展项框架 55
附录D(规范性附录) 对象标识符和属性 64
附录E(规范性附录) 公钥及相关参数的编码 65
附录F(规范性附录) 认证机构审计日志的内容和使用 71
附录G(资料性附录) 可选的信任模型 74
附录H (资料性附录) 接受证书请求数据的建议要求 79
附录I(资料性附录) 灾难恢复的认证机构技术 81
附录J(资料性附录) 证书和证书撤销列表的分发 83
参考文献 84
前言
GB/T 27928在总标题“银行业务 证书管理”下,包括以下2个部分:
---第1部分:公钥证书;
---第2部分:证书扩展项。
本部分为GB/T 27928的第1部分。
本部分修改采用ISO 15782-1:2003《银行业务 证书管理 第1部分:公钥证书》(英文版)。
本部分根据ISO 15782-1:2003重新起草,与ISO 15782-1:2003的技术性差异及原因为:
a) 删去“2规范性引用文件”中对下列文件的引用:
ANSX9.30-1 金融服务业 使用不可逆算法的公钥密码 第1部分:数字签名算法(DSA);
ANSX9.31-1 金融服务业 使用可逆算法的公钥密码 第1部分:RSA签名算法;
ANSX9.62 金融服务业 公钥密码:椭圆曲线数字签名算法(ECDSA)。
b) 6.2.1.2d)中:“宜使用标准化(ISO 或国家的)密码技术和密码模块,用于符合金融业使用要求
的4级安全模块。”修改为:“宜使用国家的密码技术和密码模块,用于符合金融业使用要求的
4级安全模块”。
c) 删去原英文标准中“6.3.5CA公钥分发”中如下文字:
对高风险应用,应使用ISO 9807:1991,附录C中定义的3DESMAC,或者单DESMAC,单
DESMAC使用不同密钥对每一个数据库或缓冲区的条目进行签名。对中低风险应用,使用
任何核准的TC68密钥管理标准的单DESMAC就足够了。并删去本节最后一段中“如DSA
和RSA”。
d) 把6.4.2最后一段中原文“自动化的审计日志应保护以防止修改或替换。哈希和数字签名的
使用可遵循ANSX9.30,ANSX9.31和 ANSX9.62中规定”修改为“自动化的审计日志应保
护以防止修改或替换。哈希和数字签名的使用应遵循我国密码管理部门的规定。”
e) 删去附录B标题的注释:3)对慎重的基于日志的算法如:Diffie-HelIman,DSA 和 ECDSA;删
除附录B.3示例,因为该示例用了DSA和RSA的例子。
f) 将附录 E的脚注“4)即将发布(ISO 8824-2:1998的修订版)”,因为其对应的国家标准
GB/T 16262.2-2006已经发布。
g) 删去附录I(资料性附录),因为其中引用了DSA等例子。
h) 删除5.5,因为与3.33重复。
为便于使用,本部分还做了下列编辑性修改:
a) 对规范性引用文件中所引用的国际标准,有相应国家标准的,改为引用国家标准;
b) 删除ISO 前言。
附录A~附录F为规范性附录。附录G~附录J为资料性附录。
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会(SAC/TC180)归口。
本部分负责起草单位:中国金融电子化公司。
本部分参加起草单位:中国人民银行、中国工商银行、中国农业银行、中国建设银行、交通银行、中国
银联股份有限公司、华北计算技术研究所、北京工商大学。
本部分主要起草人:王平娃、陆书春、李曙光、吕毅、杨颖莉、刘运、林中、张启瑞、仲志晖、景芸、周亦鹏、
钱湘隆、赵金波、曹文中、李劲松、刘先。
引 言
GB/T 27928的本部分在金融服务业方面采纳了GB/T 16264.8部分,定义了证书管理的过程和数
据元。
ISO 15782-2(即将转化我国国家标准)给出了金融业对独立扩展项的详细需求。
虽然本部分所描述的技术是用于保证金融报文的完整性和支持不可否认服务,但本部分不能保证
一个特定的执行是安全的。金融机构有责任在全过程的适当位置加入必要的控制以确保这些过程被安
全地执行。这些控制包括为了验证符合性而应用适当的审计测试。
证明公钥拥有者的身份和公钥的绑定是为了证实对应私钥的所有权。该绑定称作公钥证书。公钥
证书由可信实体---认证机构(CA)生成。
本部分的正确执行应以保证绑定了实体用于文件(包括电汇和合同)签名的密钥和实体身份为
前提。
本部分定义了用于鉴别的证书管理框架,包括鉴别加密密钥。
本部分所描述的技术能应用于合法实体(实体)之间发起的业务关系。
金融业务 证书管理
第1部分:公钥证书
1 范围
GB/T 27928的本部分定义了用于法人和自然人的金融业证书管理系统,包括:
---凭证和证书内容;
---证书授权系统,包括用于数字签名和加密密钥管理的证书;
---证书的生成、分发、验证和更新;
---鉴别结构和认证路径;
---撤销和恢复程序;
---公钥证书和证书撤销列表的定义扩展项。
本标准适用于金融行业中公钥证书的管理。
GB/T 27928的本部分也推荐了一些有用的操作程序(例如,分发机制,对所提交凭证的接受标准)。
GB/T 27928的本部分的执行也将基于业务风险和法律要求。
GB/T 27928的本部分不包括以下内容:
---在证书管理过程中各参与方之间使用的协议报文;
---对公证人和时间戳的要求;
---证书策略和认证行为的要求;
---可信第三方的要求;
---属性证书。
虽然本部分规定了证书(可包括用于加密密钥的公钥管理)生成的相关方面,但并未说明加密密钥
的生成与传输。
希望遵守GB/T 16264.8的实施者可以采用该标准定义的证书结构。希望实现兼容证书和证书撤
销结构而没有X.500系列相关的头字段的实施者可以采用附录A中所定义的ASN.1结构。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 16262.1 信息技术 抽象语法记法一(ASN.1)第1部分:基本记法规范(GB/T 16262.1-
2006,ISO/IEC 8824-1:2002,IDT)
GB/T 16262.2-2006 信息技术 抽象语法记法一(ASN.1)第 2 部分:信息客体规范
(ISO/IEC 8824-2:2002,IDT)
GB/T 16262.3 信息技术 抽象语法记法一(ASN.1) 第3部分:约束规范(GB/T 16262.3-
2006,ISO/IEC 8824-3:2002,IDT)
GB/T 16262.4 信息技术 抽象语......
|