GB/T 27913-2022用于金融服务的公钥基础设施实施和策略框架

ICS3524040

CCSA.11.

中华人民共和国国家标准

GB/T27913—2022

代替GB/T27913—2011

用于金融服务的公钥基础设施

实施和策略框架

Publickeyinfrastructureforfinancialservices—

Practicesandpolicyframework

ISO211882018MOD

(:,)

2022-04-15发布2022-04-15实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T27913—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………2

缩略语

4……………………8

公钥基础设施

5(PKI)……………………9

概述

5.1…………………9

简介

5.2PKI……………9

商业要求对环境的影响

5.3PKI……………………11

认证机构

5.4……………14

商业视角

5.5……………14

证书策略

5.6(CP)……………………17

认证业务说明

5.7(CPS)………………19

协议

5.8…………………20

时间戳

5.9………………21

信任模型

5.10…………………………21

证书策略和认证业务说明要求

6…………23

证书策略

6.1(CP)……………………23

认证业务说明

6.2(CPS)………………25

认证机构控制规程

7………………………25

概述

7.1…………………25

环境控制

7.2CA………………………26

密钥生命周期管理控制

7.3CA………………………40

主体密钥生命周期管理控制

7.4………………………45

证书生命周期管理控制

7.5……………50

证书生命周期管理控制

7.6CA………………………57

从属证书生命周期管理

7.7CA………………………58

附录资料性根据证书策略进行管理

A()………………60

附录资料性认证业务说明的要素

B()…………………68

附录资料性对象标识符

C()(OID)……………………81

附录资料性密钥生成过程

D()CA……………………83

附录资料性将映射到

E()RFC2527RFC3647……………………86

附录规范性认证机构审计日志内容及使用

F()………87

附录资料性可选的信任模型

G()………………………90

参考文献

……………………100

Ⅰ

GB/T27913—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替用于金融服务的公钥基础设施实施和策略框架与

GB/T27913—2011《》,GB/T27913—

相比除编辑性改动外主要技术变化如下

2011,,:

删除了业务持续性考虑遵照的附录见年版的

———“ISO15782-1:2003J”(2011D.4);

修改应由授权人执行为由授权人员启动的过程来执行见年版

———“”“”(7.4.1,20118.4.1);

增加了关于两个或多个可以加入用于相互识别的公共方案见

———“CA”(5.4);

增加了关于的负责管理人员应能够证明信息安全策略得到实施和遵守和宜存在并执

———“CA”“

行考虑业务与技术因素的风险评估的规程以识别分析评价可信服务风险风险评估的结

,、、。

果应传达给负责信息安全和风险管理的管理组或委员会部分内容见

”(7.2.2)。

本文件修改采用用于金融服务的公钥基础设施实施和策略框架

ISO21188:2018《》。

本文件与的技术性差异及其原因如下

ISO21188:2018:

删除了全文中美国联邦信息处理标准的相关术语和涉及的引用选择使

———FIPS()FIPS140-2,

用以适应我国密码管理的要求

ISO19790,。

增加了第章中对

———2GB/T16649.1~GB/T16649.12、GB/T16649.15、GB/T18336.1—2015、

的引用

GB/T18336.2—2015、GB/T18336.3—2015。

删除了第章中的存储区域网络该词汇在中

———4SAN(storageareanetwork,),ISO21188:2018

未出现

。

增加了第章中主体替换名称和扩展型验证这些词汇在本文件中出现

———4SAN()EV(),。

更改了中提及的如及所示为如及所示中

———5.7.1“5.7.35.7.6”“5.7.25.7.6”,ISO21188:2018

引用错误

。

删除了附录的中出现的见中引用错误

———DD.3“(0)”,ISO21188:2018。

本文件做了下列编辑性修改

:

删除了中涉及美国国防部的有关示例

———5.10DOD()。

本文件由中国人民银行提出

。

本文件由全国金融标准化技术委员会归口

(SAC/TC180)。

本文件起草单位中国人民银行中金金融认证中心有限公司重庆工商大学山东财经大学北京

:、、、、

国家金融标准化研究院有限责任公司中国科学院信息工程研究所

、。

本文件主要起草人李伟胡莹杨富玉李达曲维民甄杰董坤祥冯蕾谢宗晓马春旺赵改侠

:、、、、、、、、、、、

王自冲曹剑锋李家琪谢彦丽薄舜添贺宇熊刚苟高鹏

、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2011GB/T27913—2011;

本次为第一次修订

———。

Ⅲ

GB/T27913—2022

引言

随着金融服务业对互联网技术应用的不断扩大金融行业对提供安全的机密的和可信赖的金融交

,、

易及处理系统方面的需求不断增长从而导致了先进安全技术与公钥密码学的结合公钥密码学需要

,。

业务优化的技术管理和策略基础设施本文件中定义为公钥基础设施或来满足金融应用系统中

、(PKI)

电子标识鉴别报文完整性保护和授权的要求中电子标识鉴别和授权标准的应用进一步确保

、、。PKI、

了系统安全的一致性可预测性和电子交易的可信任性

、。

在我国数字签名和技术可用于开发金融服务业的应用这些应用的安全性和有效性部分依

,PKI。

赖于确保基础设施整体完整性的实践对于将个人身份与其他实体和密钥要素如密钥关联起来的基

。()

于授权的系统其用户可以从标准的风险管理系统和本文件定义的可审计业务基础中受益

,。

本文件制定了通过证书策略认证业务说明控制目标和控制规程来管理的框架对这些标

、、PKI。

准的实现者来说我国金融交易中的实体可以依赖本文件实现的程度以及使用本文件达到的间的

,PKI

互操作的程度都将依赖于本文件中定义的与策略和实施相关的因素

,。

Ⅳ

GB/T27913—2022

用于金融服务的公钥基础设施

实施和策略框架

1范围

本文件规定了通过证书策略和认证业务说明对进行管理以及将公钥证书用于金融服务行业

PKI,

的要求框架同时也定义了风险管理的控制目标和控制规程虽然本文件可能用于处理数字签名或密

。。

钥建立的公钥证书的生成但它不会用于处理身份验证方法不可否认性要求或密钥管理协议

,、。

本文件适用于对开放封闭和契约环境中的系统进行区分并且根据金融服务行业信息系统

、PKI,

控制目标进一步定义了运行的业务本文件的目的在于帮助实施者定义支持多证书策略的业务

。PKI,

包括数字签名远程鉴别密钥交换和数据加密的使用

、、。

本文件使得契约环境中满足金融服务行业要求且基于控制的业务的可操作性更易于实现

PKI。

尽管本文件主要针对契约环境但并不排除将文档应用于其他环境文档中术语证书是指公钥证书

,。“”。

属性证书不在本文件范围之内

。

本文件的目标是针对不同需求的多种使用者因此每类使用者会关注不同的内容

,。

业务管理者和分析者是那些需要在开展的业务中使用技术的人员例如电子商务见第

PKI(,),1

章第章

~6。

技术设计者和实现者是那些编写证书策略和认证业务说明的人员见第章第章以及附录附

,6~7,A~

录

G。

运行管理和审计者是那些负责系统日常运行并根据本文件进行一致性检查的人员见第章第

PKI,6~

章

7。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,