GB/T 27928.1-2011金融業(yè)務(wù)證書(shū)管理第1部分：公鑰證書(shū)

ICS3524040

A11..

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T279281—2011

.

金融業(yè)務(wù)證書(shū)管理

第1部分公鑰證書(shū)

:

Certificatemanagementforfinancialservices—

Part1Publickecertificates

:y

(ISO15782-1:2003,MOD)

2011-12-30發(fā)布2012-05-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T279281—2011

.

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

32

符號(hào)和縮略語(yǔ)……………

47

公鑰基礎(chǔ)設(shè)施……………

58

認(rèn)證機(jī)構(gòu)系統(tǒng)……………

610

數(shù)據(jù)元和關(guān)系……………

723

公鑰證書(shū)和證書(shū)撤銷(xiāo)列表擴(kuò)展項(xiàng)………………………

831

附錄規(guī)范性附錄模塊……………………

A()ASN.139

附錄規(guī)范性附錄參數(shù)和參數(shù)繼承…………………

B()54

附錄規(guī)范性附錄金融機(jī)構(gòu)第版證書(shū)擴(kuò)展項(xiàng)框架………………

C()355

附錄規(guī)范性附錄對(duì)象標(biāo)識(shí)符和屬性………………

D()64

附錄規(guī)范性附錄公鑰及相關(guān)參數(shù)的編碼…………

E()65

附錄規(guī)范性附錄認(rèn)證機(jī)構(gòu)審計(jì)日志的內(nèi)容和使用………………

F()71

附錄資料性附錄可選的信任模型…………………

G()74

附錄資料性附錄接受證書(shū)請(qǐng)求數(shù)據(jù)的建議要求…………………

H()79

附錄資料性附錄災(zāi)難恢復(fù)的認(rèn)證機(jī)構(gòu)技術(shù)………

I()81

附錄資料性附錄證書(shū)和證書(shū)撤銷(xiāo)列表的分發(fā)……………………

J()83

參考文獻(xiàn)……………………

84

Ⅰ

GB/T279281—2011

.

前言

在總標(biāo)題銀行業(yè)務(wù)證書(shū)管理下包括以下個(gè)部分

GB/T27928“”,2:

第部分公鑰證書(shū)

———1:;

第部分證書(shū)擴(kuò)展項(xiàng)

———2:。

本部分為的第部分

GB/T279281。

本部分修改采用銀行業(yè)務(wù)證書(shū)管理第部分公鑰證書(shū)英文版

ISO15782-1:2003《1:》()。

本部分根據(jù)重新起草與的技術(shù)性差異及原因?yàn)?/p>

ISO15782-1:2003,ISO15782-1:2003:

刪去規(guī)范性引用文件中對(duì)下列文件的引用

a)“2”:

金融服務(wù)業(yè)使用不可逆算法的公鑰密碼第部分?jǐn)?shù)字簽名算法

ANSX9.30-11:(DSA);

金融服務(wù)業(yè)使用可逆算法的公鑰密碼第部分簽名算法

ANSX9.31-11:RSA;

金融服務(wù)業(yè)公鑰密碼橢圓曲線數(shù)字簽名算法

ANSX9.62:(ECDSA)。

中宜使用標(biāo)準(zhǔn)化或國(guó)家的密碼技術(shù)和密碼模塊用于符合金融業(yè)使用要求

b)6.2.1.2d):“(ISO),

的級(jí)安全模塊修改為宜使用國(guó)家的密碼技術(shù)和密碼模塊用于符合金融業(yè)使用要求的

4?！?“,

級(jí)安全模塊

4”。

刪去原英文標(biāo)準(zhǔn)中公鑰分發(fā)中如下文字

c)“6.3.5CA”:

對(duì)高風(fēng)險(xiǎn)應(yīng)用應(yīng)使用附錄中定義的或者單單

,ISO9807:1991,C3DESMAC,DESMAC,

使用不同密鑰對(duì)每一個(gè)數(shù)據(jù)庫(kù)或緩沖區(qū)的條目進(jìn)行簽名對(duì)中低風(fēng)險(xiǎn)應(yīng)用使用

DESMAC。,

任何核準(zhǔn)的密鑰管理標(biāo)準(zhǔn)的單就足夠了并刪去本節(jié)最后一段中如

TC68DESMAC。“DSA

和

RSA”。

把最后一段中原文自動(dòng)化的審計(jì)日志應(yīng)保護(hù)以防止修改或替換哈希和數(shù)字簽名的

d)6.4.2“。

使用可遵循和中規(guī)定修改為自動(dòng)化的審計(jì)日志應(yīng)保

ANSX9.30,ANSX9.31ANSX9.62”“

護(hù)以防止修改或替換哈希和數(shù)字簽名的使用應(yīng)遵循我國(guó)密碼管理部門(mén)的規(guī)定

。?！?/p>

刪去附錄標(biāo)題的注釋對(duì)慎重的基于日志的算法如和刪

e)B:3):Diffie-HelIman,DSAECDSA;

除附錄示例因?yàn)樵撌纠昧撕偷睦?/p>

B.3,DSARSA。

將附錄的腳注即將發(fā)布的修訂版因?yàn)槠鋵?duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)

f)E“4)(ISO8824-2:1998)”,

已經(jīng)發(fā)布

GB/T16262.2—2006。

刪去附錄資料性附錄因?yàn)槠渲幸昧说壤?/p>

g)I(),DSA。

刪除因?yàn)榕c重復(fù)

h)5.5,3.33。

為便于使用本部分還做了下列編輯性修改

,:

對(duì)規(guī)范性引用文件中所引用的國(guó)際標(biāo)準(zhǔn)有相應(yīng)國(guó)家標(biāo)準(zhǔn)的改為引用國(guó)家標(biāo)準(zhǔn)

a),,;

刪除前言

b)ISO。

附錄附錄為規(guī)范性附錄附錄附錄為資料性附錄

A~F。G~J。

本部分由中國(guó)人民銀行提出

。

本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本部分負(fù)責(zé)起草單位中國(guó)金融電子化公司

:。

本部分參加起草單位中國(guó)人民銀行中國(guó)工商銀行中國(guó)農(nóng)業(yè)銀行中國(guó)建設(shè)銀行交通銀行中國(guó)

:、、、、、

銀聯(lián)股份有限公司華北計(jì)算技術(shù)研究所北京工商大學(xué)

、、。

本部分主要起草人王平娃陸書(shū)春李曙光呂毅楊穎莉劉運(yùn)林中張啟瑞仲志暉景蕓周亦鵬

:、、、、、、、、、、、

錢(qián)湘隆趙金波曹文中李勁松劉先

、、、、。

Ⅲ

GB/T279281—2011

.

引言

的本部分在金融服務(wù)業(yè)方面采納了部分定義了證書(shū)管理的過(guò)程和數(shù)

GB/T27928GB/T16264.8,

據(jù)元

。

即將轉(zhuǎn)化我國(guó)國(guó)家標(biāo)準(zhǔn)給出了金融業(yè)對(duì)獨(dú)立擴(kuò)展項(xiàng)的詳細(xì)需求

ISO15782-2()。

雖然本部分所描述的技術(shù)是用于保證金融報(bào)文的完整性和支持不可否認(rèn)服務(wù)但本部分不能保證

,

一個(gè)特定的執(zhí)行是安全的金融機(jī)構(gòu)有責(zé)任在全過(guò)程的適當(dāng)位置加入必要的控制以確保這些過(guò)程被安

。

全地執(zhí)行這些控制包括為了驗(yàn)證符合性而應(yīng)用適當(dāng)?shù)膶徲?jì)測(cè)試

。。

證明公鑰擁有者的身份和公鑰的綁定是為了證實(shí)對(duì)應(yīng)私鑰的所有權(quán)該綁定稱作公鑰證書(shū)公鑰

。。

證書(shū)由可信實(shí)體認(rèn)證機(jī)構(gòu)生成

———(CA)。

本部分的正確執(zhí)行應(yīng)以保證綁定了實(shí)體用于文件包括電匯和合同簽名的密鑰和實(shí)體身份為

()

前提

。

本部分定義了用于鑒別的證書(shū)管理框架包括鑒別加密密鑰

,。

本部分所描述的技術(shù)能應(yīng)用于合法實(shí)體實(shí)體之間發(fā)起的業(yè)務(wù)關(guān)系

()。

Ⅳ

GB/T279281—2011

.

金融業(yè)務(wù)證書(shū)管理

第1部分公鑰證書(shū)

:

1范圍

的本部分定義了用于法人和自然人的金融業(yè)證書(shū)管理系統(tǒng)包括

GB/T27928,:

憑證和證書(shū)內(nèi)容

———;

證書(shū)授權(quán)系統(tǒng)包括用于數(shù)字簽名和加密密鑰管理的證書(shū)

———,;

證書(shū)的生成分發(fā)驗(yàn)證和更新

———、、;

鑒別結(jié)構(gòu)和認(rèn)證路徑

———;

撤銷(xiāo)和恢復(fù)程序

———;

公鑰證書(shū)和證書(shū)撤銷(xiāo)列表的定義擴(kuò)展項(xiàng)

———。

本標(biāo)準(zhǔn)適用于金融行業(yè)中公鑰證書(shū)的管理

。

的本部分也推薦了一些有用的操作程序例如分發(fā)機(jī)制對(duì)所提交憑證的接受標(biāo)準(zhǔn)

GB/T27928(,,)。

的本部分的執(zhí)行也將基于業(yè)務(wù)風(fēng)險(xiǎn)和法律要求

GB/T27928。

的本部分不包括以下內(nèi)容

GB/T27928:

在證書(shū)管理過(guò)程中各參與方之間使用的協(xié)議報(bào)文

———;

對(duì)公證人和時(shí)間戳的要求

———;

證書(shū)策略和認(rèn)證行為的要求

———;

可信第三方的要求

———;

屬性證書(shū)

———。

雖然本部分規(guī)定了證書(shū)可包括用于加密密鑰的公鑰管理生成的相關(guān)方面但并未說(shuō)明加密密鑰

(),

的生成與傳輸

。

希望遵守的實(shí)施者可以采用該標(biāo)準(zhǔn)定義的證書(shū)結(jié)構(gòu)希望實(shí)現(xiàn)兼容證書(shū)和證書(shū)撤

GB/T16264.8。

銷(xiāo)結(jié)構(gòu)而沒(méi)有系列相關(guān)的頭字段的實(shí)施者可以采用附錄中所定義的結(jié)構(gòu)

X.500AASN.1。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的