GB-T 31508-2015 信息安全技术 公钥基础设施 数字证书策略分类分级规范.pdf

《GB-T 31508-2015 信息安全技术 公钥基础设施 数字证书策略分类分级规范.pdf》由会员分享，可在线阅读，更多相关《GB-T 31508-2015 信息安全技术 公钥基础设施 数字证书策略分类分级规范.pdf（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 5 0 82 0 1 5信息安全技术 公钥基础设施数字证书策略分类分级规范I n f o r m a t i o ns e c u r i t y t e c h n i q u e sP u b l i ck e y i n f r a s t r u c t u r eD i g i t a l c e r t i f i c a t ep o l i c i e s c l a s s i f i c a t i o na n dg r a d i n gs p e c i f i c a t

2、 i o n2 0 1 5-0 5-1 5发布2 0 1 6-0 1-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语35 概述36 信息发布和证书资料库责任67 身份标识与鉴别78 证书生命周期操作要求1 29 设施、管理和运作控制2 01 0 技术安全控制3 11 1 证书、证书撤销列表和在线证书状态协议4 31 2 合规性审计和相关评估4 3G B/T3 1 5 0 82 0 1 5前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。请注意本文件的某些内容

3、可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司、中国科学院软件所。本标准主要起草人:荆继武、高能、林璟锵、王展、马存庆、向继、王跃武、夏鲁宁、查达仁、王平建、王琼霄、詹榜华、连一峰。G B/T3 1 5 0 82 0 1 5引 言 使用电子认证服务进行电子交易的实体主要关心两个问题:一是交易对象的合法公钥是什么;二是交易对象的数字证书的安全性能否用于本交易。为了体现第二方面的信息,数字证书中包含了一个由电子认证服务机构提供的

4、证书策略标识,它表明了证书持有者(公钥所对应的用户)的安全属性。数字证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度,以便正确使用或依赖该证书(如:仅用于测试的,或者仅用于访问网络,或者可用于金融交易并有1 0万元担保)。因此,证书策略的实施是数字证书实际应用中不可缺少的一部分,也是提供分层次可靠的电子认证服务的基础之一。目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书中没有说明公钥可以应用在什么场景,适用于什么样的安全需求。这导致了证书的使用者对于证书的用途十分茫然,限制了数字证书的广泛应用。另外,由于缺乏数字证书使用范围或质量的标准,各电子认证服务机

5、构证书签发的安全措施(如:证书签发过程中的身份鉴别、物理设备安全、责任和赔付等)也存在较大差距。这种不一致导致了证书依赖方的许多困惑,阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接获得证书的安全信息,对证书进行自动地验证。而标准化的证书策略能够使用户清晰地认识到证书的质量和安全通途,方便应用系统的开发设计。因此,对证书策略进行规范和标准化,是推进电子商务、电子政务系统之间互联互通的重要一步。通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市场规划出分级的、多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进电子认证服务机构之间的良性竞争,提升服务质量,

6、推动电子认证服务市场的有序发展。另外,随着证书策略的分级分类逐步的实施,也可以促进电子认证服务机构评估和许可工作的规范化,即审查电子认证服务机构是否真正地按照其证书策略要求的规范来运营,是否提供相应的安全保障,这也是构建证书策略分级分类体系的重要意义。G B/T3 1 5 0 82 0 1 5信息安全技术 公钥基础设施数字证书策略分类分级规范1 范围本标准通过分类分级的方式,规范了用于商业交易、设备和公众服务领域的电子认证服务中的8种数字证书策略。本标准适用于我国电子商务和公众服务中所涉及的数字证书。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适

7、用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 0 5 1 82 0 0 6 信息安全技术 公钥基础设施 数字证书格式G B/T2 6 8 5 52 0 1 1 信息安全技术 公钥基础设施 证书策略与认证业务声明框架G B/T2 9 2 4 12 0 1 2 信息安全技术 公钥基础设施 P K I互操作性评估准则3 术语和定义下列术语和定义适用于本文件。3.1证书签发机构 c e r t i f i c a t i o na u t h o r i t y负责签发证书和维护证书状态的实体。3.2订户注册机构 r e g i s t r a t i

8、o na u t h o r i t y负责订户的标识和鉴别,批准或拒绝订户的证书申请、撤销申请和挂起申请,发起证书的撤销和挂起的实体。3.3电子认证服务机构 c e r t i f i c a t i o ns e r v i c ep r o v i d e r依据 电子签名法 和 电子认证服务管理办法 获得 电子认证服务许可证 向公众提供电子认证业务的机构,一般包含有证书签发机构和订户注册机构。3.4订户 s u b s c r i b e r与电子认证服务机构签订协议,接受电子认证服务机构提供的服务的实体。订户应能对证书对应的私钥的使用负有法律责任。3.5依赖方 r e l y i n

9、 gp a r t y接受电子认证服务机构的依赖方协议,独立地判断证书的安全性是否满足其应用的安全需求,并验证证书和相应签名的实体。1G B/T3 1 5 0 82 0 1 53.6证书主体 s u b j e c t证书中的“主体(s u b j e c t)”项指明的、持有与证书中载明公钥相对应之私钥的实体。注:证书主体可以是订户自己,也可以是订户全权控制的设备、账号、域名、I P地址等。当订户是法人机构时,证书主体还可以是该法人机构的下属机构、下属职员、签约人和设备等。3.7证书申请者 c e r t i f i c a t ea p p l i c a n t向电子认证服务机构申请证书

10、的自然人或法人。注:证书申请成功后,证书申请者即为订户。3.8证书申请递交人 c e r t i f i c a t ea p p l i c a t i o nd e l i v e r e r向电子认证服务机构递交证书申请的自然人,可以是订户或者订户的合法代表。3.9会话密钥 s e s s i o nk e y在一次会话中有效的对消息进行加密的密钥。3.1 0O C S P服务 O C S Ps e r v i c e在线的证书状态查询服务,该服务的主要对象是依赖方。3.1 1可辨识名 d i s t i n g u i s h e dn a m e用于标识证书颁发机构和证书主体名称的序

11、列,一般包括国家名称、省名、地理位置、机构名、机构单元名称和正式名称。3.1 2带外方式 o u t-o f-b a n d指当前的通信方式之外的方式,如电子认证服务机构以网络方式提供证书申请与查询等服务,带外通讯方式包括但不限于报纸、电视、纸质文件、电话传真等。3.1 3激活数据 a c t i v a t i o nd a t a用于使密码模块进入可操作状态的数据,可以是口令、生物特征等。3.1 4依赖方协议 r e l y i n gp a r t ya g r e e m e n t电子认证服务机构在 电子认证业务规则 中或单独载明的与依赖方之间的协议,规定双方在证书使用和管理过程中所

12、承担的责任和义务。3.1 5订户协议 s u b s c r i b e ra g r e e m e n t电子认证服务机构与订户所签署的协议,规定了双方在证书使用和管理过程中所承担的责任和义务。3.1 6证书信任链 c e r t i f i c a t e c h a i n一个用于证书验证的有序证书序列,它包含一个终端订户证书和若干电子认证服务机构证书,证书信任链起始于根证书,终止于终端订户证书。3.1 7证书撤销列表 c e r t i f i c a t e r e v o c a t i o nl i s t由电子认证服务机构维护的,包含由于各种原因(例如:私钥泄露、证书中的信息

13、发生改变)在有效2G B/T3 1 5 0 82 0 1 5期内被撤销的证书的列表。3.1 8对象标识符 o b j e c t i d e n t i f i e r一串分段的数字,可以唯一地标识一个对象(例如:密码算法、证书策略等)。3.1 9公钥基础设施 p u b l i ck e y i n f r a s t r u c t u r e一套由硬件、软件、人员、策略和流程构成的,用于生成、管理、分发、使用、存储和撤销数字证书的,利用公钥技术提供安全服务的基础设施。3.2 0证书策略 c e r t i f i c a t ep o l i c y指定的一组规则,表明了证书在某特定范围

14、内的、和(或)某些具有相同安全需求的应用内的适用程度。3.2 1电子认证业务规则 c e r t i f i c a t ep r a c t i c e s t a t e m e n t又称为认证业务声明,是电子认证服务机构对其签发、管理、撤销和更新证书的相关措施和实施行为的一份声明。3.2 2密码模块 c r y p t o g r a p h i cm o d u l e经国家密码管理部门批准使用的密码产品或密码系统,是指具有安全边界的用于进行密码相关的存储和计算操作的软件、固件或硬件组合。4 缩略语下列缩略语适用于本文件。C A:证书签发机构(C e r t i f i c a t

15、eA u t h o r i t y)C R L:证书撤销列表(C e r t i f i c a t eR e v o c a t i o nL i s t)D N:可辨识名(D i s t i n g u i s h e dN a m e)I P:互联网协议(I n t e r n e tP r o t o c o l)L D A P:轻量级目录访问协议(L i g h t-w e i g h tD i r e c t o r yA c c e s sP r o t o c o l)O C S P:在线证书状态协议(O n l i n eC e r t i f i c a t eS t a

16、 t u sP r o t o c o l)O I D:对象标识符(O b j e c t I d e n t i f i e r)P K I:公钥基础设施(P u b l i cK e yI n f r a s t r u c t u r e)UR L:统一资源定位符(U n i v e r s a lR e s o u r c eL o c a t o r)5 概述电子认证服务机构可以根据需要签发符合一个或多个证书策略的证书。将本标准中的任何一个或多个证书策略包含在证书中,都应得到电子认证服务管理部门的许可。电子认证服务机构制定的 电子认证业务规则,原则上不应与本证书策略内容冲突。电子认证

17、服务机构无法执行本证书策略中某些条款具体要求的,应向电子认证服务管理部门提出申请,经电子认证服务管理部门审核后方可使用该 电子认证业务规则。电子认证活动的参与方包括电子认证服务机构、订户、依赖方以及其他参与者。本标准为数字证书签发和使用提供指导,为电子认证活动各参与方明确各自的权利和义务提供依据。本标准中证书策略3G B/T3 1 5 0 82 0 1 5的适用对象包括:电子认证服务机构:签发符合一个或多个策略要求的证书的电子认证服务机构,应按照本标准中证书策略的要求制定 电子认证业务规则,并按照其 电子认证业务规则 运营;订户:认定本标准中证书策略的规定可以满足其应用需求的订户,应当了解本标

18、准中证书策略规定的订户权利和义务以及电子认证服务机构对其提供的保障;依赖方:依赖方应依据本标准中证书策略的条款,确定在多大程度上信任符合本标准中证书策略的证书及其对应的电子签名。当依赖方使用符合某个证书策略的证书时,说明其已经了解相应证书策略内容并已确认该证书策略满足其安全需求。本标准中证书策略符合G B/T2 6 8 5 52 0 1 1的要求,各个证书策略的名称和对应O I D如表1所示。表1 证书策略名称和O I D类别级别O I D基线基线待申请商业交易商业交易普通级待申请商业交易中级待申请商业交易高级待申请设备设备普通级待申请设备可信级待申请公众服务公众服务非实名级待申请公众服务实名

19、级待申请 电子认证服务机构可根据应用的需要,将本标准中证书策略的O I D包含在证书中。基线证书策略可应用于商业交易、设备和公众服务;商业交易普通级、商业交易中级和商业交易高级策略用于商业交易证书;设备普通级和设备可信级策略用于签发给设备的证书;公众服务非实名级和公众服务实名级策略用于提供和获取公共服务的证书。基线证书策略是进行电子认证业务的基本要求,三类证书策略都应该符合基线证书策略的要求;在同一类别的证书策略中,高等级的证书策略涵盖低等级证书策略的要求。本标准中证书策略支持的应用如表2所示。表2 证书策略支持的应用类别级别支持的证书应用基线基线网络环境下的身份鉴别、网络安全登录、信息保护和

20、通信密钥协商等基本应用以及当事人约定的其他应用商业交易商业交易普通级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、小额度交易以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商业交易普通级证书策略支持的交易额度商业交易中级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、中等额度交易以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商业交易中级证书策略支持的交易额度商业交易高级身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、大额交易以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商业交易高级证书策略支持的交易额度4

21、G B/T3 1 5 0 82 0 1 5表2(续)类别级别支持的证书应用设备设备普通级具有一般安全性要求的设备,如:安全邮件服务器、W e b服务器等设备可信级安全性要求较高的设备,如:支持在线电子支付、大规模用户管理等敏感应用的服务器公众服务公众服务非实名级需要匿名性的公众服务,如:电子投票。网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其他应用公众服务实名级需要实名性的公众服务,如:电子报税。网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其他应用。签署需要承担法律责任但无经济责任的文书 符合本标准中证书策略的证书还可以用于其他用途,条件:依赖方根据自己的评

22、估,有充分的理由信任该证书并确保该证书的使用不违反相关法律。订户或信赖方如果对电子认证服务机构有特殊要求,可以通过相关协议进行约定。本标准中证书策略不支持的应用如表3所示。表3 证书策略不支持的应用类别级别不支持的证书应用基线基线在违背相关法律法规规定的情况下使用商业交易商业交易普通级 在违背相关法律法规规定的情况下使用;用于超过电子认证服务管理部门所规定的商业交易普通级证书策略支持的交易额度的交易商业交易中级 在违背相关法律法规规定的情况下使用;用于超过电子认证服务管理部门所规定的商业交易中级证书策略支持的交易额度的交易商业交易高级 在违背相关法律法规规定的情况下使用;用于超过电子认证服务管

23、理部门所规定的商业交易高级证书策略支持的交易额度的交易设备设备普通级 在违背相关法律法规规定的情况下使用;用于支撑金融交易等安全性敏感应用的设备;设备以外的应用设备可信级 在违背相关法律法规规定的情况下使用;用于设备以外的应用公众服务公众服务非实名级 在违背相关法律法规规定的情况下使用;用于商业交易、需要实名性的公众服务公众服务实名级 在违背相关法律法规规定的情况下使用;用于商业交易 仅符合本标准中证书策略要求的证书不适用于可能直接导致人员伤亡或者严重破坏环境的应用系统,例如:核设备的操作系统、航天器的导航或通信系统、航空管制系统或者武器控制系统等。在本标准中,未指明适用于特定策略的条款,适用

24、于所有8种证书策略。5G B/T3 1 5 0 82 0 1 56 信息发布和证书资料库责任6.1 证书资料库电子认证服务机构应建立一个允许公众访问的在线资料库或者使用允许公众访问的在线第三方资料库,并将其签发的证书以及证书状态信息发布到该资料库上。6.2 证书信息的发布电子认证服务机构应将所签发的符合本标准中证书策略的证书及其状态信息发布到资料库上,同时还应发布以下文档的最新版本,允许订户或依赖方进行在线查询:证书策略文档;电子认证业务规则;订户协议;依赖方协议。6.3 发布信息的时间或频率电子认证服务机构的相关信息应在生效后及时发布。本标准中证书策略和对应的 电子认证业务规则 的变更,应在

25、审核通过之日起1 0天内发布。电子认证机构应保证在吊销列表的下次更新时间之前更新吊销列表。对于终端订户的证书撤销列表,应至少每2 4h签发一次,其中对于商业交易高级、设备可信级证书撤销列表,应至少每1 2h签发一次。电子认证服务机构证书的证书撤销列表应至少每年签发一次。当电子认证服务机构的证书需要撤销时签发证书撤销列表。6.4 证书资料库的访问控制电子认证服务机构不应使用技术手段来限制公众对以下信息的读取访问:证书策略、电子认证业务规则、证书和证书状态信息以及公开的订户协议和依赖方协议。电子认证服务机构应执行控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改。本标准中证书策略对于资料库

26、访问控制的要求,如表4所示。表4 证书策略对资料库访问控制的要求类别级别资料库的访问控制要求基线基线应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改商业交易商业交易普通级应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改商业交易中级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改商业交易高级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改设备设备普通级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改设备可信级应采用访问控制和物理端口分割技术及通

27、信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改6G B/T3 1 5 0 82 0 1 5表4(续)类别级别资料库的访问控制要求公众服务公众服务非实名级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改公众服务实名级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改7 身份标识与鉴别7.1 命名7.1.1 名称类型根据本标准中证书策略签发的证书应包含签发该证书的电子认证服务机构名称和证书主体的名称。出现在证书中“颁发者(i s s u e r)”项的电子认证服务机构名称和出现在“主体”项的主体名称应采

28、用G B/T2 0 5 1 82 0 0 6中的可辨识名(D N)。主体的唯一可辨识名中应含有订户的名称信息。证书中出现的电子认证服务机构的名称,包括英文缩写名称,应使用电子认证服务管理部门批准的名称。7.1.2 名称意义化的要求证书中出现的证书主体名称应有实际意义。本标准中证书策略对主体名称意义的要求,如表5所示。表5 证书策略的名称意义化要求类别级别主体名称要求基线基线主体名称应有实际意义,包括:合法的机构名称、个人姓名、电子邮件地址、用户账号和电话号码等可以用于识别主体身份的名称商业交易商业交易普通级主体名称应具有实际意义,例如:合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子

29、邮件地址、电话号码等商业交易中级主体名称应具有实际意义,例如:合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子邮件地址、电话号码等商业交易高级主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保联系到该主体设备设备普通级主体名称应包含网络上可标识该设备的名称,如:合法域名或I P地址设备可信级主体名称应包含订户的名称以及网络上可标识该设备的名称,如:合法域名或I P地址公众服务公众服务非实名级主体名称可以为假名,但应在证书签发机构中保存有对应的真实身份信息公众服务实名级主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保联系到该主体7G B/T3 1 5

30、0 82 0 1 57.1.3 订户的匿名或假名订户在证书中的名称可以是假名,但是电子认证服务机构应根据7.2的要求记录订户真实身份信息。本标准中证书策略对订户匿名或假名的要求,如表6所示。表6 证书策略对订户的匿名或假名的要求类别级别订户假名的要求基线基线主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息商业交易商业交易普通级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息商业交易中级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息商业交易高级主体名称应为户口簿或

31、身份证载明的正式名称,不允许是假名设备设备普通级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息设备可信级主体名称应包含设备所有者在户口簿、身份证或组织机构代码证载明的正式名称,不允许是假名公众服务公众服务非实名级主体名称可以为假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息公众服务实名级主体名称应为户口簿或身份证载明的正式名称,不允许是假名 订户在证书中的名称不允许匿名。7.1.4 不同名称格式的解释规则商业交易高级、公众服务实名级的证书主体的机构名称或个人姓名应填写在c n域。其他证书策略中对于不同名称格式的解释规则

32、不作规定。7.1.5 名称的唯一性电子认证服务机构不应将主体名称相同的证书签发给不同的订户。电子认证服务机构应有统一的控制策略,保证每个证书主体拥有唯一的可辨识名。同一个订户可能拥有多个相同主体名称的证书。7.1.6 商标的识别、鉴别和角色证书申请中包含侵犯第三方知识产权的域名、商标、商号或服务标识的,订户应承担相应侵权责任。电子认证服务机构不对产权证明材料进行审查。出现产权争端时,电子认证服务机构有权拒绝或挂起引起争端的订户的证书申请。7.2 初始申请证书的身份鉴别7.2.1 证明拥有私钥的方法证书申请者应证明持有与所要注册公钥相对应的私钥,证明的方法包括在证书请求消息中包含数字签名或其他与

33、此相当的证明方法。对商业交易高级、设备可信级证书的申请,应该采用挑战响应的方法证明申请者拥有对应的私钥。8G B/T3 1 5 0 82 0 1 5如果密钥对是电子认证服务机构为订户生成的,或者是由电子认证服务机构向其他第三方权威机构申请获得的,则不需要进行上述证明,但应测试密钥对的正确性。7.2.2 机构身份的鉴别当证书申请者是机构时,本标准中证书策略要求电子认证服务机构至少应对机构身份进行如表7中所要求的鉴别。表7 证书策略中机构身份鉴别的要求类别级别机构订户的鉴别基线基线 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的

34、法人身份确实有效存在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;确认证书申请递交人得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制,即证书申请者应表明其对该实体的控制能力商业交易商业交易普通级 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;确认证书申请递交人得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制商业交易中级 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证)、权威第三方提供的身份证明

35、或数据库服务,证明该机构的法人身份确实有效存在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;确认证书申请递交人得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制;应检查机构订户的银行资信证明,1年内无不良信用记录商业交易高级 应检查由政府主管部门提供的机构合法性文件(如:工商营业执照、组织机构代码证);通过实地考察,核实机构资料和信息的真实性;应检查机构的授权代表所持有的书面授权书;确认证书主体是由证书申请者全权控制;应检查机构订户的银行资信证明,3年内无不良信用记录;注册资本不低于1 0 0万,或年营业额高于5 0 0万设备设备普通级 利用政府机构发放的合法性文件(如

36、:工商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;证书申请递交人得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制,检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明,如:域名管理机构提供的域名注册记录,网络服务提供商提供的I P地址使用合同9G B/T3 1 5 0 82 0 1 5表7(续)类别级别机构订户的鉴别设备设备可信级 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存

37、在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;证书申请递交人得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制,检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明,如:域名管理机构提供的域名注册记录,网络服务提供商提供的I P地址使用合同;使用技术手段,确认证书申请者对设备具有全权控制能力;设备通过了第三方权威机构的安全检测公众服务公众服务非实名级不允许机构申请该策略证书公众服务实名级 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证),证明该机构的法人身份确实有效存在;通过电话、邮政信函或类似方法确认该机构资料信息的真实性;确认证书申请递交人得

38、到了证书申请者的书面授权;确认证书主体是由证书申请者全权控制7.2.3 自然人身份的鉴别当证书申请者是自然人的时候,本标准中证书策略要求电子认证服务机构至少应对其身份进行如表8中所要求的鉴别。表8 证书策略对自然人身份鉴别的要求类别级别自然人订户的鉴别基线基线 利用政府机关发放的合法性文件(如:居民身份证)、权威第三方提供的身份证明或数据库服务,证明自然人的身份;通过电话、邮政信函或类似方法确认个人信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权;确认证书主体是由证书申请者全权控制商业交易商业交易普通级 利用政府机关发放的合法性文件(如:居民身份证)、权威

39、第三方提供的身份证明或数据库服务,证明自然人的身份;通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权;检查合法第三方提供的工作证明商业交易中级 利用政府机关发放的合法性文件(如:居民身份证)、权威第三方提供的身份证明或数据库服务,证明自然人的身份;通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权;检查合法第三方提供的工作证明;检查银行的资信证明,1年内无不良信用记录01G B/T3 1 5 0 82 0 1 5表8(

40、续)类别级别自然人订户的鉴别商业交易商业交易高级 利用政府机关发放的合法性文件(如:居民身份证)证明自然人的身份,并利用第三方的数据库或致电第三方检查证书申请者身份的真伪;通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权;检查银行的资信证明,3年内无不良信用记录;确保证书申请者拥有4 0万以上的资产或等同的支付能力设备设备普通级检查由第三方提供的、该个人订户对设备控制权的证明,如:域名管理机构提供的域名注册记录,网络服务提供商提供的I P地址使用合同设备可信级 检查由第三方提供的,该个人订户拥有对设备的控

41、制权的证明,如:域名管理机构提供 的 域名 注册 记录,网络 服务 提 供 商 提 供 的I P地 址 使 用合同;应使用安全检查工具,检查该设备的安全状况公众服务公众服务非实名级 利用政府机关发放的合法性文件(如:居民身份证)、权威第三方提供的身份证明或数据库服务,证明自然人的身份;确认至少两种可达的联系方式,如:电话、邮政信函、电子邮件等公众服务实名级 利用政府机关发放的合法性文件(如:居民身份证)、权威第三方提供的身份证明或数据库服务,证明自然人的身份;确认至少两种可达的联系方式,如:电话、邮政信函、电子邮件等7.2.4 未验证的订户信息未验证的订户信息不应包含在证书中。7.2.5 权力

42、确认当一个自然人的名称与一个机构名称相关联,可以合法代表机构行使职权时,电子认证服务机构应进行机构的身份鉴别和自然人的身份鉴别并确认该自然人具有这样的授权。7.2.6 互操作规范根据G B/T2 9 2 4 12 0 1 2,本标准对签发不同证书策略的电子认证服务机构互操作能力的要求,如表9所示。表9 证书策略中互操作规范的要求类别级别互操作等级基线基线一级商业交易商业交易普通级二级商业交易中级二级商业交易高级三级11G B/T3 1 5 0 82 0 1 5表9(续)类别级别互操作等级设备设备普通级二级设备可信级三级公众服务公众服务非实名级二级公众服务实名级二级7.3 密钥更新请求的身份鉴别

43、7.3.1 常规密钥更新请求的身份鉴别订户在证书有效期内、且证书未被撤销的情况下提出密钥更新请求,视为常规密钥更新请求。在常规密钥更新时,电子认证服务机构应对订户进行身份鉴别,鉴别的方法可以采用质询短语或者私钥签名的方式。质询短语是订户在申请证书时留下的用于身份鉴别的短语。利用质询短语进行鉴别时,订户应正确提供该短语的内容,并能正确提供部分其他登记信息。若采用私钥签名的方式进行鉴别,订户应使用现有私钥对更新请求进行签名,更新请求中应包含正确的部分登记信息。电子认证服务机构应对订户的签名和更新请求内包含的订户信息进行验证。订户也可以选择初始证书申请流程进行常规密钥更新,按照要求提交证书申请所需的

44、材料。对商业交易普通级、商业交易中级、商业交易高级、设备普通级、设备可信级、公众服务非实名级和公众服务实名级策略的证书连续地进行三次常规密钥更新后,应按照初始证书申请流程获得新证书。7.3.2 证书撤销后密钥更新请求的身份鉴别订户在证书撤销后申请密钥更新时,应按照初始证书申请流程重新申请。7.4 证书撤销请求的身份鉴别电子认证服务机构应在订户协议中写明对证书撤销请求的鉴别方法。证书撤销申请人应满足下列条件之一:提供申请证书时留下的质询短语,或者具有同等安全程度的方式;使用拟被撤销的证书对应的私钥对撤销请求进行签名;电子认证服务机构通过电话、传真、邮政信函或其他方式确认申请撤销的人确实是订户。司

45、法机关依法提出证书撤销,电子认证服务机构将直接以司法机关书面撤销请求文件作为依据,不再进行其他方式的鉴别。8 证书生命周期操作要求8.1 证书申请8.1.1 证书申请递交人下列人员可以递交证书申请:能够独立承担民事责任的自然人或其授权代表;独立法人机构的授权代表。21G B/T3 1 5 0 82 0 1 58.1.2 登记过程和责任证书申请者在申请满足本标准中证书策略要求的证书时,应明确表示同意订户协议中的内容,并提供真实的信息,生成或委托电子认证服务机构为自己生成公私钥对。如果公私钥对由证书申请者自己生成,还应向电子认证服务机构提供相应的公钥,并证明其拥有公钥对应的私钥。8.2 证书申请的

46、处理8.2.1 执行身份鉴别电子认证服务机构应根据7.2的要求,对证书申请者及证书主体进行身份鉴别。8.2.2 接受或拒绝证书申请如果满足下列条件,电子认证服务机构将接受证书申请:根据7.2的要求,成功地完成了证书申请的身份鉴别;收到或确认能收到证书申请者应缴纳的费用。如果发生下列情形之一,电子认证服务机构应拒绝证书申请:不能完成证书申请的身份鉴别过程;证书申请者不能提供电子认证服务机构应的补充文件或没有在指定的时间内响应电子认证服务机构的通知;未收到或确认无法收到证书申请者应缴纳的费用;电子认证服务机构认为批准该申请将会导致电子认证服务机构陷入法律纠纷。8.2.3 处理证书申请的时限收到证书

47、申请后,电子认证服务机构应当在合理的时限内开始处理证书申请。电子认证服务机构应在 电子认证业务规则 中对证书申请处理所需的时间给出明确规定,并按照规定操作。本标准中证书策略对证书申请处理时限的要求,如表1 0所示。表1 0 证书策略对处理证书申请时限的要求类别级别处理证书申请的期限基线基线不作规定商业交易商业交易普通级不作规定商业交易中级1 0个工作日内商业交易高级1 0个工作日内设备设备普通级1 0个工作日内设备可信级1 0个工作日内公众服务公众服务非实名级1 0个工作日内公众服务实名级1 0个工作日内8.3 证书签发8.3.1 证书签发期间电子认证服务机构的行为证书的产生和签发应在证书申请

48、审核通过之后进行。电子认证服务机构产生和签发的证书中的内31G B/T3 1 5 0 82 0 1 5容应来源于被审核通过的证书申请。8.3.2 订户证书签发的通知电子认证服务机构签发证书后,应及时通知证书申请者,并向证书申请者提供获得证书的方式,确保证书申请者能够通过公众易于获得的方式获得证书。8.4 证书接受8.4.1 证书接受行为证书申请者按照订户协议中规定的方式确认已经接受证书,或者证书申请者在收到电子认证服务机构的证书签发通知后的规定时限内未对证书或证书内容提出合理的异议,则视为证书申请者已经接受证书。8.4.2 电子认证服务机构发布证书电子认证服务机构应将订户已经接受的证书发布到允

49、许公众访问的证书资料库中。8.5 密钥对和证书的使用8.5.1 订户私钥和证书的使用订户应在签订了订户协议并接受证书后才能使用证书对应的私钥。订户私钥的使用应符合证书中“密钥用途(K e y U s a g e)”扩展的要求。订户的私钥和证书的使用应符合订户协议的要求。订户应保护其私钥免受未经授权的使用。证书到期或被撤销后,订户应停止使用私钥。8.5.2 依赖方对公钥和证书的使用依赖方信任证书的前提是同意依赖方协议中的条款。依赖方应根据证书使用的环境和条件判断证书是否可信任。如果依赖方应电子认证服务机构提供额外的保障,依赖方应在确认可以获得这些保障之后信任相应的证书。在信任证书前,依赖方应独立

50、的进行如下评估:证书适用于当前应用场景,并确定证书的使用不违背本证书策略的要求;证书的使用不违背证书中“密钥用途”扩展的规定;证书及其证书信任链中所有电子认证服务机构证书的证书状态是合适的。当证书信任链中的某个证书有被撤销的情况时,依赖方有责任调查上述证书撤销前,订户证书对应私钥所做的签名是否可信任,并独立承担相应的风险。依赖方还应利用合适的软件/硬件来执行数字签名验证或其他密码操作。8.6 证书更新8.6.1 证书更新的情况若证书中的公钥和其他订户信息没有发生任何变化,订户可以通过证书更新获得新证书。过期证书也可以更新。8.6.2 证书更新请求人订户本人或授权代表、机构的授权代表可以请求证书