《国家现代服务业服务交互支撑平台.docx》由会员分享,可在线阅读,更多相关《国家现代服务业服务交互支撑平台.docx(81页珍藏版)》请在三一办公上搜索。
1、国家现代服务业服务交互支撑平台CA安全认证共性服务中国国际电子商务中心国家现代服务业服务交互支撑平台课题组CA电子认证业务规则V2.0目录国家现代服务业服务交互支撑平台0CA安全认证共性服务01 概括性描述71.1概述71.1.1证书类别71.1.2证书分发服务91.2文档名称与标识91.3电子认证活动参与方及其职责101.3.1电子认证服务机构101.3.2注册机构111.3.3订户121.3.4依赖方121.3.5其他参与者121.4证书应用121.4.1适合的证书应用121.4.2限制的证书应用121.5策略管理131.5.1策略文档管理机构131.5.2联系人131.5.3决定CPS符
2、合策略的机构131.5.4CPS批准程序131.6定义和缩写132 信息发布与信息管理182.1认证信息的发布182.2发布的时间或频率182.3信息库访问控制183 身份标识与鉴别183.1命名183.1.1名称类型183.1.2对名称意义化的要求193.1.3订户的匿名或伪名193.1.4理解不同名称形式的规则203.1.5名称的唯一性203.1.6名称解析203.1.6商标和订户签名信息203.2初始身份确认203.2.1证明拥有私钥的方法203.2.2组织机构身份及其授权的鉴别203.2.3个人身份的鉴别213.2.4虚拟身份鉴别213.2.5没有验证的订户信息223.3密钥更新请求的
3、标识与鉴别223.3.1常规密钥更新的标识与鉴别223.3.2吊销后密钥更新的标识与鉴别223.4吊销请求的标识与鉴别224 证书生命周期操作要求234.1证书申请234.1.1证书申请实体234.1.2注册过程与责任234.2证书申请处理234.2.1执行识别与鉴别功能234.2.2证书申请批准和拒绝234.2.3处理证书申请的时间244.3证书签发244.3.1证书签发中注册机构和电子认证服务机构的行为244.3.2电子认证服务机构和注册机构对订户的通告244.4证书接受244.4.1构成接受证书的行为244.4.2电子认证服务机构对证书的发布244.4.3电子认证服务机构对其他实体的通告
4、244.5密钥对和证书的使用254.5.1订户私钥和证书的使用254.5.2信赖方公钥和证书的使用254.6证书更新254.6.1证书更新的情形254.6.2请求证书更新的实体254.6.3证书更新请求的处理254.6.4颁发新证书时对订户的通告264.6.5构成接受更新证书的行为264.6.6电子认证服务机构对更新证书的发布264.6.7电子认证服务机构对其他实体的通告264.7证书变更264.7.1证书变更的情形264.7.2请求证书变更的实体264.7.3证书变更请求的处理264.7.4颁发新证书时对订户的通告274.7.5构成接受变更证书的行为274.7.6电子认证服务机构对变更证书的
5、发布274.7.7电子认证服务机构对其他实体的通告274.8证书吊销和挂起274.8.1证书吊销的情形274.9.2请求证书吊销的实体284.9.3吊销请求的流程284.9.4吊销请求宽限期284.9.5电子认证服务机构处理吊销请求的时限294.9.6依赖方检查证书吊销的要求294.9.7CRL发布频率294.9.8CRL发布的最大滞后时间294.9.9在线状态查询的可用性294.9.10 在线状态查询要求294.9.11 吊销信息的其他发布形式304.9.12 密钥损害的特别要求304.10证书状态服务304.10.1 操作特征304.10.2 服务可用性304.10.3 可选特征304.1
6、1订购结束304.12密钥生成、备份与恢复304.12.1 密钥生成、备份与恢复的策略与行为314.12.2 会话密钥的封装与恢复的策略与行为315 认证机构设施、管理和操作控制315.1 物理控制315.1.1 场地位置与控制325.1.2 物理访问345.1.3电源和空调345.1.4防水355.1.5防火355.1.6存储介质保护355.1.7 废物处理355.1.8异地备份介质355.1.9RA(包括受理点)的物理控制365.2操作过程控制365.2.1 CA系统管理人员365.2.2 运营安全管理小组365.2.3 每一项任务需要的人数365.2.4 安全令牌控制375.3 人员控制
7、375.3.1 人员背景审查375.3.2背景审查的实现385.3.3 培训要求385.3.4 继续培训要求385.3.5 岗位分离385.3.6 未授权行为的制裁385.3.7 系统抢修的要求385.3.8 工作轮换周期和顺序395.3.9 独立合约人的要求395.3.10 提供给员工的文档395.4 审计日志程序395.4.1 记录事件的类型395.4.2 处理或归档日志的周期395.4.3 审计日志的保存期限405.4.4 审计日志的保护405.4.5 审计日志备份程序405.4.6 审计日志收集系统405.4.7 对导致事件实体的通告405.4.8 脆弱性评估415.5记录归档415.
8、5.1 存档记录类型415.5.2 存档的保留期限415.5.3 档案的保护415.5.4 存档备份425.5.5 为记录加上时间戳425.5.6 档案收集系统425.5.7 验证档案信息425.6 密钥转换425.6.1 密钥转换定义425.6.2 CA证书有效期425.6.3 CRL435.7 灾难恢复435.7.1 国富安CA遭到攻击造成灾难时的恢复435.7.2 CA证书公钥被撤销435.7.3 CA证书私钥被攻破435.7.4 自然灾难或其他灾难后采取的安全措施435.8 国富安CA终止提供服务436 认证系统技术安全控制446.1 密钥对的生成和安装446.1.1 密钥对的生成44
9、6.1.2 私钥传送给订户456.1.3 公钥传送给证书签发机构456.1.4 电子认证服务机构公钥传送给依赖方456.1.5 密钥的长度456.1.6 公钥参数的生成和质量检查456.1.7 密钥使用目的456.2 私钥的安全保证466.2.1 密码模块标准和控制466.2.2私钥的多人控制466.2.3 私钥的托管466.2.4 私钥备份466.2.5 私钥归档476.2.6 私钥导入或导出密码模块476.2.7 私钥在密码模块中的存储476.2.8 激活私钥的方法476.2.9 解除私钥激活状态的方法486.2.10 销毁密钥的方法486.2.11 密码模块的评估486.3 密钥对管理的
10、其他方面486.3.1 公钥归档486.3.2 证书操作期和密钥对使用期限496.4 激活数据496.4.1 激活数据的产生和安装496.4.2 激活数据的保护496.4.3 激活数据的其他方面506.4.3.1 激活数据的传送506.4.3.2 激活数据的销毁506.5 计算机安全控制506.5.1 特别的计算机安全技术要求506.5.2 计算机安全评估516.6 生命周期技术控制516.6.1 系统开发控制516.6.2 安全管理控制516.6.3 生命周期的安全控制516.7 网络的安全控制516.8 时间戳527 证书、证书吊销列表和在线证书状态协议527.1 证书527.1.1证书版
11、本号527.1.2证书扩展项527.1.3证书格式537.1.4 算法对象标识符587.2 证书吊销列表597.2.1 版本号597.2.2 CRL和CRL条目扩展项597.3 在线证书状态协议597.3.1 版本号597.3.2 OCSP基本域597.3.3 OCSP扩展域608 认证机构审计和其他评估608.1评估的频率或情形608.2评估者的资质608.3评估者与被评估者之间的关系608.4评估内容618.5对问题与不足采取的措施618.6评估结果的传达与发布618.7 其他评估619 法律责任和其他业务条款619.2财务责任629.2.1保险范围629.2.2其他资产629.2.3对最
12、终实体的保险或担保629.3业务信息保密629.3.1保密信息范围629.3.2不属于保密的信息639.3.3保护保密信息的责任639.4个人隐私保密639.4.1隐私保密方案639.4.2作为隐私处理的信息639.4.3不被视为隐私的信息639.4.4保护隐私的责任639.4.5使用隐私信息的告知与同意639.4.6依法律或行政程序的信息披露649.4.7其他信息披露情形649.5知识产权649.6陈述与担保 9.6.1 电子认证服务机构的陈述与担保649.6.2注册机构的陈述与担保679.6.4依赖方的陈述与担保699.6.5其他参与者的陈述与担保699.7担保免责699.8有限责任709
13、.9赔偿709.10 有效期限与终止719.10.1 有效期限719.10.2 终止719.10.3 效力的终止与保留719.11 对参与者的个别通告与沟通719.12 修订729.12.1 修订程序729.12.2 通知机制和期限729.12.3 必须修改业务规则的情形729.13 争议处理729.14 管辖法律739.15 与适用法律的符合性739.16 一般条款739.16.1 完整协议739.16.2分割性739.16.3 强制执行739.16.4不可抗力739.16.5 其他条款741 概括性描述1.1概述北京国富安电子商务安全认证有限公司成立于1998年12月,简称“国富安CA”。
14、 国富安CA是在公众网络(例如CHINANET、CIETNET等,以下简称公网)上进行电子商务活动的安全基础设施。该体系和与之配套的安全技术在整个公众电子商务平台中处于基础结构地位。 国富安CA安全认证体系的设计和建设符合各项国际安全协议标准。国富安CA签发的证书格式遵循国际电联(ITU)X.509标准。2006年2月,国富安数字证书认证系统通过国家密码管理局安全性审查。国富安CA严格按照中华人民共和国电子签名法和电子认证服务管理办法的要求,以及相关管理规定,提供数字证书的申请、颁发、存档、查询、废止等服务,并通过以PKI技术、数字证书应用技术为核心的应用安全解决方案。北京国富安电子商务安全认
15、证有限公司电子认证业务规则由北京富安电子商务安全认证有限公司按照信息产业部电子认证服务管理办法的要求,依据电子认证业务规则规范(试行)制定。本电子认证业务规则详细阐述了国富安CA在实际工作和运营中所遵循的各项规范。本电子认证业务规则适用于国富安CA及其员工、注册机构、证书申请方、订户和依赖方,各参与方必须完整理解和执行电子认证业务规则所规定的条款并承担相应的责任和义务。1.1.1证书类别国富安CA证书策略根据社会活动中参与的实体不同定义了五类证书。在每类证书中又根据其承担的法律责任、安全保障级别、用途等又进行了细分,目的是为了更好的保障各参与方的权利和义务。一类证书是个人证书,国富安CA签发的
16、这类证书在满足中华人民共和国电子签名法的其他规定要求下,由其产生的电子签名符合中华人民共和国电子签名法的要求。按照安全保障级别和具体用途分为如下几种:自然人证书,提供基本的安全保障,代表法定公民在中华人民共和国境内从事社会活动的网络身份,与个人在社会中的职务与地位没有关系,如同公安局发的身份证一样;只承担由个人行为所引发的责任。依据订户的要求,该类证书可以与自然人的电子名章相对应。自然人证书里可以包含职业资格要素,增加国家法定承认的职业资格鉴定。组织机构、企业授权人证书,提供比自然人证书更高一级的安全保障,代表个人在组织机构、企业中的职务和地位,每一个人在不同的组织机构、企业中可以拥有不同的授
17、权人证书,承担与所代表组织、机构内相应的责任。组织机构、企业法人证书,该证书代表组织机构、企业的注册法人,与组织机构、企业的唯一身份证书具有相同的用途,承担相同的责任与义务,依据订户的要求,该类证书可以与组织机构、企业的法人名章相对应。对于同一实体自然人来说,为了应用的方便,组织机构、企业法人证书、组织机构、企业授权人证书、自然人证书可以依次由上一级证书代替实现其用途,但国富安CA会在订户证书申请时说明从安全角度出发,订户应遵循安全保障级别越高的证书使用次数及途径越少的原则。二类证书是组织机构、企业证书,国富安CA签发的这类证书在满足中华人民共和国电子签名法的其他规定要求下,由其产生的电子签名
18、符合中华人民共和国电子签名法的要求。这类证书从安全保障级别和组织机构、企业行政部门以及具体用途不同有如下几种:组织机构、企业身份证书,代表组织机构在中华人民共和国境内网络身份,直接或间接(通过委托授权人证书)承担企业网上行为责任。依据订户的要求,该类证书可以与组织机构、企业的电子公章或合同章相对应。组织机构、企业部门证书,由组织机构、企业授权代表组织机构、企业部门,承担其所在部门内的责任和义务。依据订户的要求,该类证书可以与相应部门的电子业务章相对应。三类证书为设备、服务器证书,根据设备归属实体又分为个人服务器证书和组织机构、企业服务器证书。个人服务器证书代表以个人申请的域名或其他设备证书,由
19、于该域名或设备为个人拥有,根据法律不能从事经营活动,所以不承担由此引发的责任,该证书仅保障该域名或设备的身份,负责建立安全对话连接和身份证明。组织机构、企业服务器证书,代表由组织机构、企业申请的域名或设备证书,由于该域名为企业拥有,代表组织机构、企业从事电子商务和其他经营活动,所以承担由此引发的责任,该证书不仅保障该域名或设备的身份,国富安CA签发的这类证书在满足中华人民共和国电子签名法的其他规定要求下,由其产生的电子签名符合中华人民共和国电子签名法的要求。四类证书为学生证书,代表中华人民共和国境内的大、中、小学生实体身份,但由于学生不承担相应的民事责任,所以该类证书只表示学生的真实身份,该类
20、证书的签名也具有相应的法律效应,但不承担由此引起的赔偿责任。学生不能用该证书从事有经济赔偿责任的电子商务和其他社会活动,只能用于学校或教育的内部管理。五类证书是虚拟证书,提供基于网络虚拟主体应用的安全保护,比如针对电子邮箱的安全电子邮件证书和针对即时通信的QQ、MSN号证书,能够应用于安全电子邮件、安全即时通信的签名、加密以及建立安全通话通道,由于该类证书中的最终实体并不能和现实社会中的实体一一对应,因此该类证书所产生的电子签名仅代表虚拟实体的愿望。国富安CA并不保障虚拟实体所产生的电子签名代表其所对应的真实实体,即电子签名人的意愿,因此该类证书不承担由此引发的法律责任。1.1.2证书分发服务
21、国富安CA通过其承担相应责任的RA注册机构,包括在其CA认证机房和自建分布在全国各地、以及建立在其他组织机构中、遵从于本电子认证业务规则的RA注册机构进行证书批准、签发、管理、使用和吊销、更新等安全服务,国富安CA会在其运营网站公布各RA注册机构的有关信息。1.2文档名称与标识本文档名称为国富安CA电子认证业务规则(CPS),目前版本号为V2.0。1.3电子认证活动参与方及其职责国富安CA是根据中华人民共和国电子签名法和电子认证服务管理办法规定,依法设立的第三方电子认证服务机构。国富安CA秉承国际领先的PKI技术,总体分为两层,第一层为根CA,第二层为运营CA,可以根据其电子认证业务规则依据其
22、策略向不同行业和领域扩展其信任体系。运营CA由CA系统、RA系统和LA受理点三部分组成,以下为其系统示意图:根CA国富安运营CA1国富安运营CA2国富安RA系统托管RA系统2RA系统3国富安LALA4国富安LA2托管LA3证书用户1.3.1电子认证服务机构电子认证服务系统CA(Certification Authority)系统承担证书签发、审批、吊销、查询、证书及黑名单发布、密钥和证书管理、政策制定等工作,设在国富安CA北京经济技术开发区运营主机房,不直接面对用户证书,采用两层结构,第一层为根CA,负责制定国富安CA电子认证总体政策与策略,为下级运营CA签发并管理CA证书,负责与其他CA信任
23、体系进行交叉认证。第二层为运营CA,直接为用户签发并管理数字证书,该层CA可以根据用户证书策略不同分为多个运营CA。1.3.2注册机构注册机构作为电子认证服务机构授权委托的下属机构,包括注册系统(RA系统),和证书受理点(LA),负责用户证书的申请、审批和证书管理,直接面向证书用户;一般情况下LA证书受理点进行用户身份鉴定和证书信息录入,提交到RA系统把证书申请信息传递到CA。国富安CA的RA系统分为自建RA和授权RA,每个RA系统下面可以根据系统能力建立多个LA证书受理点。自建RA指由国富安CA自己投资建设分布于全国各地的RA系统,归国富安CA所有,为证书总量在500,000张以下的地区或行
24、业应用提供证书申请审批、证书信息录入以及证书发放并进行部分管理服务。另一种为授权RA,归授权的企业或组织所有,授权RA在遵循国富安CA电子认证业务规则的基础上负责为该区域或组织提供数字证书的申请,为证书总量相对较小(在10000以下,根据具体情况可以升级到50,000张以下),或证书审核严格或证书管理复杂的的区域和组织提供证书申请审批、证书信息录入以及证书发放并进行部分管理服务,适合于需要对RA系统功能进行客户化定制和需要自主管理RA系统的区域和组织使用。 RA系统与CA系统根据其业务需求和特殊情况采用专线或VPN方式相连,之间的通信符合国家相关安全规范与标准。LA证书受理点是面向最终用户的注
25、册审核机构,其主要功能是对用户提交的资料进行审核,以决定是否同意为该申请者发放证书。LA的身份由RA审核,LA的操作员证书由运行CA签发。LA作为RA的下级机构,它不直接与CA进行数据交换,CA不接收来自LA的证书签发请求,LA的证书签发请求由RA转发给CA。RA服务器负责安全地和国富安CA服务器交换数据。LA证书受理点与RA系统一般采用VPN方式相连,之间的通信也符合国家相关安全规范与标准。1.3.3订户从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。1.3.4依赖方依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。1.3
26、.5其他参与者其他参与者指为国富安CA提供相关服务的其它实体,如提供第三方身份鉴定的机构和组织。1.4证书应用1.4.1适合的证书应用国富安CA所发证书能够满足不同的业务需要,如网上银行,电子商务,电子政务,安全电子邮件,SSL安全代理,在线支付等应用。证书申请人根据实际需要和承担责任,自觉采用哪种数字证书类型。1.4.2限制的证书应用证书禁止在任何违反国家法律、法规或破坏国家安全的情形下使用,否则由此造成的法律后果由用户自己承担。 由于证书的使用可能导致人员死亡、伤残的情形。 由于证书的使用可能导致环境破坏的情形。1.5策略管理1.5.1策略文档管理机构本电子认证业务规则的管理机构是国富安C
27、A策略委员会。由国富安CA策略委员会负责对本电子认证业务规则的制定、发布、更新等事宜。本电子认证业务规则由北京国富安电子商务安全认证有限公司拥有完全版权。1.5.2联系人国家现代服务业服务交互支撑平台课题办公室地址: 北京经济技术开发区荣华中路11号邮编:100176电话: 010-67800281传真:010-67801055联系人:尹鹏翎E-mail: yinpengling1.5.3决定CPS符合策略的机构本电子认证业务规则由国富安CA策略委员会制定并执行。1.5.4CPS批准程序国富安CA策略委员会负责CPS的管理。国富安CA策略委员会对CPS草案进行评审,如果符合证书策略,将批准CP
28、S,之后在国富安CA网站上对外公布。从对外公布之日起三十个工作日之内向信息产业部备案。1.6定义和缩写术语定义一览表激活数据不同于密钥的数据值 (如PIN,验证短语,biometric或是人工掌握的密钥份额),用来操作加密模块,须被保护鉴定核实实体(如个人,公司,或机构)所声称的身份证书是一种信息,包含的基本信息有:签发证书的认证中心,用户的名称,用户的公钥,证书的操作期,及签发证书的认证中心的数字签名。证书政策(CP)一套命名的规则,指定了证书对于特定群体的适用性和/或有共同安全要求的应用等级。证书的密钥更新(Re-key)有现成密钥对和证书的用户在新的密钥对产生之后接收了新的证书从而得到新
29、的公钥。证书的更新用户得到了现有证书的一段新的有效期限证书请求RA向CA呈交的确认的注册请求,注册证书中用户的公钥。证书撤消列表(CRL)被撤消的证书列表,由发证CA数字签名认证中心(CA)制作并签名证书的并被一个或多个依赖方信任的机构,CA可取消它所制作并签发的证书。认证实施声明(CPS)认证机构应用于签发证书的实施声明。认证实施声明定义了CA为满足所支持的证书政策规定的要求而采用的设置,政策和程序。损害对安全系统的违反,因而可能导致敏感信息的未授权的泄露,修改,置换或使用加密硬件(加密装置) 硬件加密模块加密模块一套硬件,软件,韧件或某种结合,在其中可执行密码逻辑,包括加密算法。一种可以实
30、行密码功能(如加密,鉴定,密钥生成)的装置。数字签名数据的密码转换,当与数据单位相连时,提供鉴定起源,使数据完整和防止签名者抵赖的服务。事件日志(审计日志或审计记录)按照时间顺序对系统活动的记录,可以再现,评估和检查从事项的开始到最后结果的输出中每一事件周围的或导致每一事件的环境和活动序列。密钥托管私钥交由第三方保管,任何对被托管的密钥的访问,如法律实施官员的访问,都应符合事先定义的条件。密钥恢复当实体的私钥或对称的加密密钥丢失,被破坏,或不能获得时,从安全的存储库中恢复这些密钥能力。目标重用对包含一个或多个目标的介质主体(如页帧,磁盘扇区,磁带)的重新赋值。为安全的分配,该介质不应包含原先目
31、标的剩余数据。在线证书状态查询协议(OCSP)可取代或补充定期的CRL的确定证书的当前状态的协议。该协议说明了检查证书状态的应用和提供该状态的服务器之间应交换的数据。政策中心政策中心有制定维护它自己的和下级机构操作的政策的职责。政策管理中心(PMA)或政策中心(PA)政策管理中心是有制定安全政策(如CP)的最终权威和职责的实体。公钥基础设施(PKI)为了推动拥有非对称公钥的公共成分与拥有对应私钥的特定用户之间可证实的联系,采用数字签名技术的硬件,软件,人员,程序和政策的结构。公钥可被用来证实数字签名,鉴定通讯对话中的主体,和/或,交换或流通信息加密密钥。注册中心(RA)负责辨认和证明证书主体的
32、实体,它不是CA因此不能签名或签发证书。RA可以协助证书的申请,撤消或两者。注册请求某实体向RA(或CA)注册该实体在证书中的公钥的申请注册回应由RA(或CA)发出的回应注册申请的信息。依赖方证书的接受者,他信任证书中的信息或发证CA公布的其他信息,如CRL(注:在此文件中,术语“证书使用者”和“依赖方”可互用。资源库分布或使证书或证书状态信息可利用的方法(如数据库或X.500目录)根认证机构(根CA)CA等级中地位最高的CA用户公钥被公钥证书证实的实体可信的计算系统(TCB)计算机系统中的全体保护装置包括硬件,韧件和软件它们的结合负责执行安全政策。TCB由一个或多个共同执行某个产品或系统的安
33、全政策的成分组成。TCB正确执行安全政策的能力完全由TCB内的装置和系统管理人员对安全政策的参数的正确输入所决定。可信路径终端人员可直接与可信的计算系统通信的机制。该机制只能由该人员或可信计算系统所激活,且不能被非置信的软件所效仿。验证(Validation)依赖方检查证书状态的过程。确认(Verification)为专有通信比较两种层次的系统规格的过程(如有最高规格的安全政策,有源码的TLS,或有目标码的源码)。查证(Verify)是与数字签名相关的一种方法,为准确地确定:(1)数字签名是在有效证书的操作期内由对应于证书公钥的私钥制作的;(2)数字签名被制作后信息没有被改变。缩写词CA安全认
34、证机构(Certification authority) CPS认证业务声明(Certification practice statement)CRL证书黑名单(Certificate revocation list)CSR证书签名请求(Certificate Signing Request)DAM修改草本( ISO 标准)(draft amendment(to an ISO standard )) FIPS联邦信息处理标准(Federal Information Processing Standard)FTP文件传输协议 (File Transfer Protocol)GFA CA北京国富安
35、电子商务安全认证有限公司(Beijing Guo Fu An Security Electronic Commerce CA Co.,Ltd.)GMT格林威治标准时间(Greenwich Mean Time)HTTP超文本传输协议(Hypertext Transfer Protocol)HTTPS安全套接层下的超文本传输协议(Hypertext Transfer Protocol with SSL)LRA地方注册机构(Local registration authority)LRAA地方注册机构管理员(Local registration authority administrator)NSI
36、未经证实的用户信息(Nonverified subscriber information)OCA操作CA(Operation Certification Authority)PCA政策CA(Policy certification authority)PCS公共认证服务(Public certification services)PIN个人识别码(Personal identification number)PKCS公钥加密标准(Public Key Cryptography Standards)PKI公钥基础设施(Public key infrastrUCTure)RCA根CA(Root C
37、ertification Authority)RDN相关区别名称(Relative Distinguished Name)RPA信赖方协议(Relying Party Agreement)RSA一种加密算法 (见定义)(a cryptographic system (see definitions)SET安全电子交易 (Secure Electronic Transaction) S/MIME安全的多用途网络邮件延伸格式(Secure Multipurpose Internet Mail Extensions)SSL安全协议层(Secure Sockets Layer)URL单一资源地址(un
38、iform resource locator)WWW or Web万维网(World Wide Web)X.509国际电信联盟认证体系的证书标准(the ITU-T standard for certificates and their corresponding authentication framework)2 信息发布与信息管理2.1认证信息的发布国富安CA公布以下信息:RA系统、LA证书受理点的基本情况;用户协议和依赖方协议;CP和CPS;国富安CA应当在目录服务器中公布:用户的证书;CRL。2.2发布的时间或频率国富安CA按照CPS的相关规定修订CPS、用户协议、依赖方协议。证书一
39、经签发就要在目录服务器公布,证书状态及CRL根据本CPS的相关规定公开。国富安CA的CPS、订户协议、依赖方协议,通过信息库7X24可获得。国富安CA签发的订户证书一经签发即发布到LDAP服务器供用户下载,同时订户可通过证书服务站点获得已签发的证书。通过OCSP对证书状态的查询是及时的。国富安CA对每个证书签发CA发布一个证书吊销列表,发布该CA签发的证书中的已吊销了的证书。证书吊销列表一般是每24小时更新一次。2.3信息库访问控制在国富安CA网站或者目录服务器公布的信息属于公开信息,任何人可以免费查阅这些信息。国富安CA要求访问CPS、证书、证书状态、CRL等信息的任何人必须遵守本CPS、依
40、赖方协议和CRL使用协议。3 身份标识与鉴别3.1命名 3.1.1名称类型 根据证书类型不同,国富安CA签发的证书实体名字可以是个人姓名、组织机构、企业名称、部门名、域名或其相应的身份证号码和组织机构代码,特殊情况如第五类证书也可以是虚拟世界中的虚拟名如电子邮件名和QQ、MSN号。国富安CA最终订户证书的主题域中包含一个X.500甄别名(遵从关于X.500标准,并用X.501PrintableString格式),它由如下内容组成:l 国家 (C)=CN或不用;l 组织机构 (O)=组织机构属性如下:u 对于一类自然人证书和五类电子邮件虚拟证书为GFAu 对于五类其他虚拟证书可以是那类应用或组织
41、的名称,如MSN证书为微软名称u 对于其他类型证书,是证书订户所在机构名称l 机构部门 (OU1)=订户组织机构部门名称;(OU2)=职业资格证号、商标、订户签名或其他,或不用;(OU3)=订户证书类型;l 省或城市 (S)=订户所在的省、城市或不用;l 位置 (L)=订户所在具体地点或不用;l 通用名 (CN)=通用名如下:u 一类证书为身份证号-姓名u 二类证书为组织机构代码-组织机构、企业名称u 三类证书为域名或服务器DNS名u 四类证书为学生号-姓名u 五类证书为虚拟名称l 电子邮箱 (E)=电子邮件地址;国富安CA可以根据自己的要求拥有对最终订户证书主题甄别名意义修改的权利,但修改的
42、前提是不损害其他证书订户的权利和义务,并随时公布修改结果。3.1.2对名称意义化的要求主题和签发者的DN遵循PKIX标准,并且在证书中标明。证书主体名称标识本证书所提到的最终实体的特定名称,描述了与主体公钥中的公钥绑定的实体信息,除五类证书外不允许使用假名或伪名。3.1.3订户的匿名或伪名在国富安CA证书服务体系中,除了第五类证书外,订户不能使用匿名、伪名或虚拟名申请证书。 3.1.4理解不同名称形式的规则依X.500甄别名命名规则解释。3.1.5名称的唯一性在国富安CA证书信任域中,订户证书实体中主题甄别名必须是唯一的,除非订户申请签发双证书(签名证书和加密证书),两个证书因为属于同一实体,
43、因此中X.500甄别名是一样的,但证书密钥用途不一样,签名证书密钥只能用于签名,加密证书密钥只用于加密。3.1.6名称解析国富安CA免费向所有依赖方组织或个人、应用提供方提供证书解析字符串和解析方法。3.1.6商标和订户签名信息国富安CA签发的证书的主题甄别名中可以包含商标名或订户签名信息。 3.2初始身份确认3.2.1证明拥有私钥的方法国富安CA通过使用经数字签名的PKCS#10格式的证书请求,或其它相当的密码格式,或其他国富安CA批准的方法,验证证书申请者拥有私钥。3.2.2组织机构身份及其授权的鉴别对于与组织机构相关的证书,如一类证书中的组织机构授权人证书、组织机构法人证书,二类证书以及
44、三类证书中的高级服务器证书,组织机构应指定和授权证书的申请代表,出具申请委托函,在证书的申请书上签字、盖章表示接受证书申请的有关条款, 并承担相应的责任。国富安CA或RA(包括受理点)当面或采用其他方式审核组织机构身份及其申请者的代表人是否符合要求。国富安CA对证书组织机构身份及申请者代表的鉴证按以下方式进行:审核该组织机构身份的真实性:国富安CA或RA(包括受理点)必须检查组织机构相关的证明文件原件或复印件,申请者需向国富安CA提供组织机构确实存在的证明(如工商执照、组织机构代码证、税务登记等,对于服务器证书需要出具域名拥有证书等)。代表人身份的授权:国富安CA或RA(包括受理点)必须检查组织机构的证书申请委托函,委托函需加盖组织机构公章和签名,通过对代表人身份证件的验证或其他渠道核实代表人已经由该组织授权。如果国富安CA或RA(包括受理点)已经预先明确了组织机构和授权或委托人的身份,那么国富安CA或RA(包括受理点)可以信赖这些证明。对于特殊情况,国富安CA或RA(包括受理点)可以采用其他方式追加组织机构身份鉴证的权利。
