信息安全技术公钥基础设施数字证书策略分类分级规范(GB-T 31508-2015).docx

ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX代替GB/T 信息安全技术 公钥基础设施数字证书策略分类分级规范Information security techniques - Public key infrastructure - Digital certificate policies classification and grading specification点击此处添加与国际标准一致性程度的标识（本稿完成日期：2013年07月24日）（在提交反馈意见时，请将您知道的相关专利以及支持性文件一并附上）XXXX - XX - XX发布 - XX - XX实施GB/T XXXXXXXXX目次前言II引言III1范围12规范性引用文件13术语和定义14缩略语35概述36信息发布和证书资料库责任67身份标识与鉴别78证书生命周期操作要求129设施、管理和运作控制2110技术安全控制3011证书、证书撤销列表和在线证书状态协议4212合规性审计和相关评估4313其它商业和法律事宜44前言本标准按照GB/T 1.1-2009规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司、中国科学院软件所。本标准主要起草人：荆继武、高能、林璟锵、王展、马存庆、向继、王跃武、夏鲁宁、查达仁、王平建、王琼霄、詹榜华、连一峰。引言使用电子认证服务进行电子交易的实体主要关心两个问题：一是交易对象的合法公钥是什么；二是交易对象的数字证书的安全性能否用于本交易。为了体现第二方面的信息，数字证书中包含了一个由电子认证服务机构提供的证书策略标识，它表明了证书持有者（公钥所对应的用户）的安全属性。数字证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度，以便正确使用或依赖该证书（如：仅用于测试的，或者仅用于访问网络，或者可用于金融交易并有10万元担保）。因此，证书策略的实施是数字证书实际应用中不可缺少的一部分，也是提供分层次可靠的电子认证服务的基础之一。目前，我国的电子认证服务机构签发的数字证书均未包含证书策略的内容，即在证书中没有说明公钥可以应用在什么场景，适用于什么样的安全需求。这导致了证书的使用者对于证书的用途十分茫然，限制了数字证书的广泛应用。另外，由于缺乏数字证书使用范围或质量的标准，各电子认证服务机构证书签发的安全措施（如：证书签发过程中的身份鉴别、物理设备安全、责任和赔付等）也存在较大差距。这种不一致导致了证书依赖方的许多困惑，阻碍了数字证书的跨区域跨行业应用，限制了应用程序直接获得证书的安全信息，对证书进行自动地验证。而标准化的证书策略能够使用户清晰地认识到证书的质量和安全通途，方便应用系统的开发设计。因此，对证书策略进行规范和标准化，是推进电子商务、电子政务系统之间互联互通的重要一步。通过证书策略的标准化，设计数字证书策略的分级分类规范，可以为电子认证服务市场规划出分级的、多层次的服务质量体系，为不同应用系统实现适度的安全服务，从而促进电子认证服务机构之间的良性竞争，提升服务质量，推动电子认证服务市场的有序发展。另外，随着证书策略的分级分类逐步的实施，也可以促进电子认证服务机构评估和许可工作的规范化，即审查电子认证服务机构是否真正地按照其证书策略要求的规范来运营，是否提供相应的安全保障，这也是构建证书策略分级分类体系的重要意义。IIIGB/T XXXXXXXXX信息安全技术 公钥基础设施数字证书策略分类分级规范1 范围本标准通过分类分级的方式，规范了用于商业交易、设备和公众服务领域的电子认证服务中的八种数字证书策略，适用于我国的电子商务和公众服务中所涉及的数字证书。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式GB/T 26855-2011 信息安全技术 公钥基础设施 证书策略与认证业务声明框架GB/T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则3 术语和定义下列术语和定义适用于本文件。3.1证书签发机构 certification authority负责签发证书和维护证书状态的实体。3.2订户注册机构 registration authority负责订户的标识和鉴别，批准或拒绝订户的证书申请、撤销申请和挂起申请，发起证书的撤销和挂起的实体。3.3电子认证服务机构 certification service provider依据电子签名法和电子认证服务管理办法获得电子认证服务许可证向公众提供电子认证业务的机构，一般包含有证书签发机构和订户注册机构。3.4订户 subscriber与电子认证服务机构签订协议，接受电子认证服务机构提供的服务的实体。订户应能对证书对应的私钥的使用负有法律责任。3.5依赖方 relying party接受电子认证服务机构的依赖方协议，独立地判断证书的安全性是否满足其应用的安全需求，并验证证书和相应签名的实体。3.6证书主体 subject证书中的“主体”（subject）项指明的、持有与证书中载明公钥相对应之私钥的实体。证书主体可以是订户自己，也可以是订户全权控制的设备、账号、域名、IP地址等。当订户是法人机构时，证书主体还可以是该法人机构的下属机构、下属职员、签约人和设备等。3.7证书申请者 certificate applicant向电子认证服务机构申请证书的自然人或法人。证书申请成功后，证书申请者即为订户。3.8证书申请递交人 certificate application deliverer向电子认证服务机构递交证书申请的自然人，可以是订户或者订户的合法代表。3.9会话密钥 session key在一次会话中有效的对消息进行加密的密钥。3.10OCSP服务 OCSP service在线的证书状态查询服务，该服务的主要对象是依赖方。3.11可辨识名 distinguished name用于标识证书颁发机构和证书主体名称的序列，一般包括国家名称、省名、地理位置、机构名、机构单元名称和正式名称。3.12带外方式 out-of-band指当前的通信方式之外的方式，如电子认证服务机构以网络方式提供证书申请与查询等服务，则如报纸、电视、纸质文件、电话传真等通信方式都属于带外方式。3.13激活数据 activation data用于使密码模块进入可操作状态的数据，可以是口令、生物特征等。3.14依赖方协议 relying party agreement电子认证服务机构在电子认证业务规则中或单独载明的与依赖方之间的协议，规定双方在证书使用和管理过程中所承担的责任和义务。3.15订户协议 subscriber agreement电子认证服务机构与订户所签署的协议，规定了双方在证书使用和管理过程中所承担的责任和义务。3.16证书信任链 certificate chain一个用于证书验证的有序证书序列，它包含一个终端订户证书和若干电子认证服务机构证书，证书信任链起始于根证书，终止于终端订户证书。3.17证书撤销列表 certificate revocation list由电子认证服务机构维护的，包含由于各种原因（例如：私钥泄漏、证书中的信息发生改变）在有效期内被撤销的证书的列表。3.18对象标识符 object identifier一串分段的数字，可以唯一地标识一个对象（例如：密码算法、证书策略等）。3.19公钥基础设施 public key infrastructure一套由硬件、软件、人员、策略和流程构成的，用于生成、管理、分发、使用、存储和撤销数字证书的，利用公钥技术提供安全服务的基础设施。3.20证书策略 certificate policy指定的一组规则，表明了证书在某特定范围内的、和（或）某些具有相同安全需求的应用内的适用程度。3.21电子认证业务规则 certificate practice statement又称为认证业务声明，是电子认证服务机构对其签发、管理、撤销和更新证书的相关措施和实施行为的一份声明。3.22密码模块 cryptographic module经国家密码管理部门批准使用的密码产品或密码系统，是指具有安全边界的用于进行密码相关的存储和计算操作的软件、固件或硬件组合。4 缩略语下列缩略语适用于本文件。CA证书签发机构 （Certificate Authority）CRL证书撤销列表 （Certificate Revocation List）DN可辨识名 （Distinguished Name）IP互联网协议 （Internet Protocol）LDAP轻量级目录访问协议 （Light-weight Directory Access Protocol）OCSP在线证书状态协议（Online Certificate Status Protocol）OID对象标识符 (Object Identifier)PKI公钥基础设施（Public Key Infrastructure）URL统一资源定位符 （Universal Resource Locator）5 概述电子认证服务机构可以根据需要签发符合一个或多个证书策略的证书。将本标准中的任何一个或多个证书策略包含在证书中，都必须得到电子认证服务管理部门的许可。电子认证服务机构制定的电子认证业务规则，原则上不能与本证书策略内容冲突。电子认证服务机构无法执行本证书策略中某些条款具体要求的，应向电子认证服务管理部门提出申请，经电子认证服务管理部门审核后方可使用该电子认证业务规则。电子认证活动的参与方包括电子认证服务机构、订户、依赖方以及其它参与者。本标准为数字证书签发和使用提供指导，为电子认证活动各参与方明确各自的权利和义务提供依据。本标准中证书策略的适用对象包括：· 电子认证服务机构：签发符合一个或多个策略要求的证书的电子认证服务机构，应按照本标准中证书策略的要求制定电子认证业务规则，并按照其电子认证业务规则运营；· 订户：认定本标准中证书策略的规定可以满足其应用需求的订户，应当了解本标准中证书策略规定的订户权利和义务以及电子认证服务机构对其提供的保障；· 依赖方：依赖方应依据本标准中证书策略的条款，确定在多大程度上信任符合本标准中证书策略的证书及其对应的电子签名。当依赖方使用符合某个证书策略的证书时，说明其已经了解相应证书策略内容并已确认该证书策略满足其安全需求。本标准中证书策略符合GB/T 26855-2011，各个证书策略的名称和对应OID如表1所示：表1 证书策略名称和OID类别级别OID基线基线证书策略待申请商业交易商业交易普通级待申请商业交易中级待申请商业交易高级待申请设备设备普通级待申请设备可信级待申请公众服务公众服务非实名级待申请公众服务实名级待申请电子认证服务机构可根据应用的需要，将本标准中证书策略的OID包含在证书中。基线证书策略可应用于商业交易、设备和公众服务；商业交易普通级、商业交易中级和商业交易高级策略用于商业交易证书；设备普通级和设备可信级策略用于签发给设备的证书；公众服务非实名级和公众服务实名级策略用于提供和获取公共服务的证书。基线证书策略是进行电子认证业务的基本要求，三类证书策略都应该符合基线证书策略的要求；在同一类别的证书策略中，高等级的证书策略涵盖低等级证书策略的要求。本标准中证书策略支持的应用如表2所示：表2 证书策略支持的应用类别级别支持的证书应用基线基线证书策略网络环境下的身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其它应用。商业交易商业交易普通级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、小额度交易以及当事人约定的其它应用，其额度不超过电子认证服务管理部门所规定的商业交易普通级证书策略支持的交易额度。商业交易中级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、中等额度交易以及当事人约定的其它应用，其额度不超过电子认证服务管理部门所规定的商业交易中级证书策略支持的交易额度。商业交易高级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、大额交易以及当事人约定的其它应用，其额度不超过电子认证服务管理部门所规定的商业交易高级证书策略支持的交易额度。续表2 证书策略支持的应用类别级别支持的证书应用设备设备普通级具有一般安全性要求的设备，如：安全邮件服务器、Web服务器等。设备可信级安全性要求较高的设备，如：支持在线电子支付、大规模用户管理等敏感应用的服务器。公众服务公众服务非实名级需要匿名性的公众服务，如：电子投票。网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其它应用。公众服务实名级需要实名性的公众服务，如：电子报税。网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其它应用。签署需要承担法律责任但无经济责任的文书。符合本标准中证书策略的证书还可以用于其它用途，条件是：依赖方根据自己的评估，有充分的理由信任该证书并确保该证书的使用不违反相关法律。订户或信赖方如果对电子认证服务机构有特殊要求，可以通过相关协议进行约定。本标准中证书策略不支持的应用如表3所示：表3 证书策略不支持的应用类别级别不支持的证书应用基线基线证书策略在违背相关法律法规规定的情况下使用。商业交易商业交易普通级l 在违背相关法律法规规定的情况下使用；l 用于超过电子认证服务管理部门所规定的商业交易普通级证书策略支的持交易额度的交易。商业交易中级l 在违背相关法律法规规定的情况下使用；l 用于超过电子认证服务管理部门所规定的商业交易中级证书策略支持的交易额度的交易。商业交易高级l 在违背相关法律法规规定的情况下使用；l 用于超过电子认证服务管理部门所规定的商业交易高级证书策略支持的交易额度的交易。设备设备普通级l 在违背相关法律法规规定的情况下使用；l 用于支撑金融交易等安全性敏感应用的设备；l 设备以外的应用。设备可信级l 在违背相关法律法规规定的情况下使用；l 用于设备以外的应用。公众服务公众服务非实名级l 在违背相关法律法规规定的情况下使用；l 用于商业交易、需要实名性的公众服务。公众服务实名级l 在违背相关法律法规规定的情况下使用；l 用于商业交易。符合本标准中证书策略要求的证书不能在违背相关法律法规规定的情况下使用。仅符合本标准中证书策略要求的证书不能用于可能直接导致人员伤亡或者严重破坏环境的应用系统，例如：核设备的操作系统、航天器的导航或通信系统、航空管制系统或者武器控制系统等。在本标准中，未指明适用于特定策略的条款，适用于所有八种证书策略。6 信息发布和证书资料库责任6.1 证书资料库电子认证服务机构应建立一个允许公众访问的在线资料库或者使用允许公众访问的在线第三方资料库，并将其签发的证书以及证书状态信息发布到该资料库上。6.2 证书信息的发布电子认证服务机构应将所签发的符合本标准中证书策略的证书及其状态信息发布到资料库上，同时还应发布以下文档的最新版本，允许订户或依赖方进行在线查询：· 证书策略文档；· 电子认证业务规则；· 订户协议；· 依赖方协议。6.3 发布信息的时间或频率电子认证服务机构的相关信息应在生效后及时发布。本标准中证书策略和对应的电子认证业务规则的变更，应在审核通过之日起十天内发布。对于终端订户的证书撤销列表，至少每24h签发一次，其中对于商业交易高级、设备可信级证书撤销列表，至少每12h签发一次。电子认证服务机构证书的证书撤销列表至少每年签发一次。当电子认证服务机构的证书需要撤销时签发证书撤销列表。6.4 证书资料库的访问控制电子认证服务机构不可以使用技术手段来限制公众对以下信息的读取访问：证书策略、电子认证业务规则、证书和证书状态信息以及公开的订户协议和依赖方协议。电子认证服务机构应执行控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改。本标准中证书策略对于资料库访问控制的要求，如表4所示：表4 证书策略对资料库访问控制的要求类别级别资料库的访问控制要求基线基线证书策略应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改。商业交易商业交易普通级应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改。商业交易中级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改。商业交易高级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改。设备设备普通级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改。设备可信级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改。续表4 证书策略对资料库访问控制的要求类别级别资料库的访问控制要求公众服务公众服务非实名级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改。公众服务实名级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改。7 身份标识与鉴别7.1 命名7.1.1 名称类型根据本标准中证书策略签发的证书应包含签发该证书的电子认证服务机构名称和证书主体的名称。出现在证书中“颁发者”（issuer）项的电子认证服务机构名称和出现在“主体”项的主体名称应采用GB/T 20518-2006中的可辨识名（DN）。主体的唯一可辨识名中应含有订户的名称信息。证书中出现的电子认证服务机构的名称，包括英文缩写名称，应使用电子认证服务管理部门批准的名称。7.1.2 名称意义化的要求证书中出现的证书主体名称应有实际意义。本标准中证书策略对主体名称意义的要求，如表5所示：表5 证书策略的名称意义化要求类别级别主体名称要求基线基线证书策略主体名称应有实际意义，包括：合法的机构名称、个人姓名、电子邮件地址、用户账号和电话号码等可以用于识别主体身份的名称。商业交易商业交易普通级主体名称应具有实际意义，例如：合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子邮件地址、电话号码等。商业交易中级主体名称应具有实际意义，例如：合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子邮件地址、电话号码等。商业交易高级主体名称应包含订户的地址、真实名称和其它辅助信息，这些信息可以确保联系到该主体。设备设备普通级主体名称应包含网络上可标识该设备的名称，如：合法域名或IP地址。设备可信级主体名称应包含订户的名称以及网络上可标识该设备的名称，如：合法域名或IP地址。公众服务公众服务非实名级主体名称可以为假名，但应在证书签发机构中保存有对应的真实身份信息。公众服务实名级主体名称应包含订户的地址、真实名称和其它辅助信息，这些信息可以确保联系到该主体。7.1.3 订户的匿名或假名订户在证书中的名称可以是假名，但是电子认证服务机构应根据7.2的要求记录订户真实身份信息。本标准中证书策略对订户匿名或假名的要求，如表6所示：表6 证书策略对订户的匿名或假名的要求类别级别订户假名的要求基线基线证书策略主体名称可以是假名，但是在电子认证服务机构的数据库中，应根据7.2的要求记录订户真实身份信息。商业交易商业交易普通级主体名称可以是假名，但是在电子认证服务机构的数据库中，应根据7.2的要求记录订户真实身份信息。商业交易中级主体名称可以是假名，但是在电子认证服务机构的数据库中，应根据7.2的要求记录订户真实身份信息。商业交易高级主体名称应为户口簿或身份证载明的正式名称，不允许是假名。设备设备普通级主体名称可以是假名，但是在电子认证服务机构的数据库中，应根据7.2的要求记录订户真实身份信息。设备可信级主体名称应包含设备所有者在户口簿、身份证或组织机构代码证载明的正式名称，不允许是假名。公众服务公众服务非实名级主体名称可以为假名，但是在电子认证服务机构的数据库中，应根据7.2的要求记录订户真实身份信息。公众服务实名级主体名称应为户口簿或身份证载明的正式名称，不允许是假名。订户在证书中的名称不允许匿名。7.1.4 不同名称格式的解释规则商业交易高级、公众服务实名级的证书主体的机构名称或个人姓名应填写在cn域。其它证书策略中对于不同名称格式的解释规则不作规定。7.1.5 名称的唯一性电子认证服务机构不能将主体名称相同的证书签发给不同的订户。电子认证服务机构应有统一的控制策略，保证每个证书主体拥有唯一的可辨识名。同一个订户可能拥有多个相同主体名称的证书。7.1.6 商标的识别、鉴别和角色证书申请中包含侵犯第三方知识产权的域名、商标、商号或服务标识的，订户应承担相应侵权责任。电子认证服务机构不对产权证明材料进行审查。出现产权争端时，电子认证服务机构有权拒绝或挂起引起争端的订户的证书申请。7.2 初始申请证书的身份鉴别7.2.1 证明拥有私钥的方法证书申请者应证明持有与所要注册公钥相对应的私钥，证明的方法包括在证书请求消息中包含数字签名或其它与此相当的证明方法。对商业交易高级、设备可信级证书的申请，应该采用挑战响应的方法证明申请者拥有对应的私钥。如果密钥对是电子认证服务机构为订户生成的，或者是由电子认证服务机构向其它第三方权威机构申请获得的，则不需要进行上述证明，但应测试密钥对的正确性。7.2.2 机构身份的鉴别当证书申请者是机构时，本标准中证书策略要求电子认证服务机构至少需要对机构身份进行如表7中所要求的鉴别：表7 证书策略中机构身份鉴别的要求类别级别机构订户的鉴别基线基线证书策略l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证）、权威第三方提供的身份证明或数据库服务，证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 确认证书申请递交人得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制，即证书申请者需要表明其对该实体的控制能力。商业交易商业交易普通级l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证）、权威第三方提供的身份证明或数据库服务，证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 确认证书申请递交人得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制。商业交易中级l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证）、权威第三方提供的身份证明或数据库服务，证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 确认证书申请递交人得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制；l 应检查机构订户的银行资信证明，一年内无不良信用记录。商业交易高级l 应检查由政府主管部门提供的机构合法性文件（如：工商营业执照、组织机构代码证）；l 通过实地考察，核实机构资料和信息的真实性；l 应检查机构的授权代表所持有的书面授权书；l 确认证书主体是由证书申请者全权控制；l 应检查机构订户的银行资信证明，三年内无不良信用记录；l 注册资本不低于100万，或年营业额高于500万。设备设备普通级l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证）、权威第三方提供的身份证明或数据库服务，证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 证书申请递交人得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制，检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明，如：域名管理机构提供的域名注册记录，网络服务提供商提供的IP地址使用合同。续表7 证书策略中机构身份鉴别的要求类别级别机构订户的鉴别设备设备可信级l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证）、权威第三方提供的身份证明或数据库服务，证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 证书申请递交人得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制，检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明，如：域名管理机构提供的域名注册记录，网络服务提供商提供的IP地址使用合同；l 使用技术手段，确认证书申请者对设备具有全权控制能力；l 设备通过了第三方权威机构的安全检测。公众服务公众服务非实名级不允许机构申请该策略证书。公众服务实名级l 利用政府机构发放的合法性文件（如：工商营业执照、组织机构代码证），证明该机构的法人身份确实有效存在；l 通过电话、邮政信函或类似方法确认该机构资料信息的真实性；l 确认证书申请递交人得到了证书申请者的书面授权；l 确认证书主体是由证书申请者全权控制。7.2.3 自然人身份的鉴别当证书申请者是自然人的时候，本标准中证书策略要求电子认证服务机构至少需要对其身份进行如表8中所要求的鉴别：表8 证书策略对自然人身份鉴别的要求类别级别自然人订户的鉴别基线基线证书策略l 利用政府机关发放的合法性文件（如：居民身份证）、权威第三方提供的身份证明或数据库服务，证明自然人的身份；l 通过电话、邮政信函或类似方法确认个人信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权；l 确认证书主体是由证书申请者全权控制。商业交易商业交易普通级l 利用政府机关发放的合法性文件（如：居民身份证）、权威第三方提供的身份证明或数据库服务，证明自然人的身份；l 通过电话、邮政信函或与此类似的其它方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权；l 检查合法第三方提供的工作证明。商业交易中级l 利用政府机关发放的合法性文件（如：居民身份证）、权威第三方提供的身份证明或数据库服务，证明自然人的身份；l 通过电话、邮政信函或与此类似的其它方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权；l 检查合法第三方提供的工作证明；l 检查银行的资信证明，一年内无不良信用记录。续表8 证书策略对自然人身份鉴别的要求类别级别自然人订户的鉴别商业交易商业交易高级l 利用政府机关发放的合法性文件（如：居民身份证）证明自然人的身份，并利用第三方的数据库或致电第三方检查证书申请者身份的真伪；l 通过电话、邮政信函或与此类似的其它方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权；l 检查银行的资信证明，三年内无不良信用记录；l 确保证书申请者拥有40万以上的资产或等同的支付能力。设备设备普通级检查由第三方提供的、该个人订户对设备控制权的证明，如：域名管理机构提供的域名注册记录，网络服务提供商提供的IP地址使用合同。设备可信级l 检查由第三方提供的，该个人订户拥有对设备的控制权的证明，如：域名管理机构提供的域名注册记录，网络服务提供商提供的IP地址使用合同；l 应使用安全检查工具，检查该设备的安全状况。公众服务公众服务非实名级l 利用政府机关发放的合法性文件（如：居民身份证）、权威第三方提供的身份证明或数据库服务，证明自然人的身份；l 确认至少两种可达的联系方式，如：电话、邮政信函、电子邮件等。公众服务实名级l 利用政府机关发放的合法性文件（如：居民身份证）、权威第三方提供的身份证明或数据库服务，证明自然人的身份；l 确认至少两种可达的联系方式，如：电话、邮政信函、电子邮件等。7.2.4 未验证的订户信息未验证的订户信息不能包含在证书中。7.2.5 权力确认当一个自然人的名称与一个机构名称相关联，可以合法代表机构行使职权时，电子认证服务机构应进行机构的身份鉴别和自然人的身份鉴别并确认该自然人具有这样的授权。7.2.6 互操作规范根据GB/T 29241-2012，本标准对签发不同证书策略的电子认证服务机构互操作能力的要求，如表9所示：表9 证书策略中互操作规范的要求类别级别互操作等级基线基线证书策略一级商业交易商业交易普通级二级商业交易中级二级商业交易高级三级设备设备普通级二级设备可信级三级公众服务公众服务非实名级二级公众服务实名级二级7.3 密钥更新请求的身份鉴别7.3.1 常规密钥更新请求的身份鉴别订户在证书有效期内、且证书未被撤销的情况下提出密钥更新请求，视为常规密钥更新请求。在常规密钥更新时，电子认证服务机构应对订户进行身份鉴别，鉴别的方法可以采用质询短语或者私钥签名的方式。质询短语是订户在申请证书时留下的用于身份鉴别的短语。利用质询短语进行鉴别时，订户应正确提供该短语的内容，并能正确提供部分其它登记信息。若采用私钥签名的方式进行鉴别，订户应使用现有私钥对更新请求进行签名，更新请求中应包含正确的部分登记信息。电子认证服务机构应对订户的签名和更新请求内包含的订户信息进行验证。订户也可以选择初始证书申请流程进行常规密钥更新，按照要求提交证书申请所需的材料。对商业交易普通级、商业交易中级、商业交易高级、设备普通级、设备可信级、公众服务非实名级和公众服务实名级策略的证书连续地进行三次常规密钥更新后，应按照初始证书申请流程获得新证书。7.3.2 证书撤销后密钥更新请求的身份鉴别订户在证书撤销后申请密钥更新时，需要按照初始证书申请流程重新申请。7.4 证书撤销请求的身份鉴别电子认证服务机构应在订户协议中写明对证书撤销请求的鉴别方法。证书撤销申请人应满足下列条件之一：· 提供申请证书时留下的质询短语，或者具有同等安全程度的方式；· 使用拟被撤销的证书对应的私钥对撤销请求进行签名；· 电子认证服务机构通过电话、传真、邮政信函或其它方式确认申请撤销的人确实是订户。司法机关依法提出证书撤销，电子认证服务机构将直接以司法机关书面撤销请求文件作为依据，不再进行其它方式的鉴别。8 证书生命周期操作要求8.1 证书申请8.1.1 证书申请递交人下列人员可以递交证书申请：· 能够独立承担民事责任的自然人或其授权代表；· 独立法人机构的授权代表。8.1.2 登记过程和责任证书申请者在申请满足本标准中证书策略要求的证书时，应明确表示同意订户协议中的内容，并提供真实的信息，生成或委托电子认证服务机构为自己生成公私钥对。如果公私钥对由证书申请者自己生成，还应向电子认证服务机构提供相应的公钥，并证明其拥有公钥对应的私钥。8.2 证书申请的处理8.2.1 执行身份鉴别电子认证服务机构应根据7.2的要求，对证书申请者及证书主体进行身份鉴别。8.2.2 接受或拒绝证书申请如果满足下列条件，电子认证服务机构将接受证书申请：· 根据7.2的要求，成功地完成了证书申请的身份鉴别；· 收到或确认能收到证书申请者需要缴纳的费用。如果发生下列情形之一，电子认证服务机构应拒绝证书申请：· 不能完成证书申请的身份鉴别过程；· 证书申请者不能提供电子认证服务机构需要的补充文件或没有在指定的时间内响应电子认证服务机构的通知；· 未收到或确认无法收到证书申请者需要缴纳的费用；· 电子认证服务机构认为批准该申请将会导致电子认证服务机构陷入法律纠纷。8.2.3 处理证书申请的时限收到证书申请后，电子认证服务机构应当在合理的时限内开始处理证书申请。电子认证服务机构应在电子认证业务规则中对证书申请处理所需的时间给出明确规定，并按照规定操作。本标准中证书策略对证书申请处理时限的要求，如表10所示：表10 证书策略对处理证书申请时限的要求类别级别处理证书申请的期限基线基线证书策略不作规定商业交易商业交易普通级不作规定商业交易中级10个工作日内商业交易高级10个工作日内设备设备普通级10个工作日内设备可信级10个工作日内公众服务公众服务非实名级10个工作日内公众服务实名级10个工作日内8.3 证书签发8.3.1 证书签发期间电子认证服务机构的行为证书的产生和签发应在证书申请审核通过之后进行。电子认证服务机构产生和签发的证书中的内容应来源于被审核通过的证书申请。8.3.2 订户证书签发的通知电子认证服务机构签发证书后，应及时通知证书申请者，并向证书申请者提供获得证书的方式，确保证书申请者能够通过公众易于获得的方式获得证书。8.4 证书接受8.4.1 证书接受行为证书申请者按照订户协议中规定的方式确认已经接受证书，或者证书申请者在收到电子认证服务机构的证书签发通知后的规定时限内未对证书或证书内容提出合理的异议，则视为证书申请者已经接受证书。8.4.2 电子认证服务机构发布证书电子认证服务机构应将订户已经接受的证书发布到允许公众访问的证书资料库中。8.4.3 电子认证服务机构向其它实体通告证书签发不作规定。8.5 密钥对和证书的使用8.5.1 订户私钥和证书的使用订户必须在签订了订户协议并接受证书后才能使用证书对应的私钥。订户私钥的使用应符合证书中“密钥用途”（KeyUsage）扩展的要求。订户的私钥和证书的使用应符合订户协议的要求。订户应保护其私钥免受未经授权