收藏
下载资源

电子认证业务规则规范

上传人:ji****72 文档编号:38024338 上传时间:2018-04-25 格式:DOC 页数:18 大小:108.50KB
返回 下载 相关 举报
电子认证业务规则规范_第1页
第1页 / 共18页
电子认证业务规则规范_第2页
第2页 / 共18页
电子认证业务规则规范_第3页
第3页 / 共18页
电子认证业务规则规范_第4页
第4页 / 共18页
电子认证业务规则规范_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《电子认证业务规则规范》由会员分享,可在线阅读,更多相关《电子认证业务规则规范(18页珍藏版)》请在金锄头文库上搜索。

1、1电子认证业务规则规范(试行)电子认证业务规则规范(试行)电子认证业务规则规范说明为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目 前电子认证系统大多采用基于非对称密钥的 PKI 技术的现状,参考国家标准化 部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认 证业务规则规范(试行) 。电子认证服务机构应参照本规范,结合电子认证业务 的具体情况,编制电子认证业务规则。信息产业部电子认证服务管理办公室 . 2005 年 4 月 .电子认证业务规则规范(试行)一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描 述。电子

2、认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内 容,主要由以下几部分组成。 (一)概括性描述 (二)信息发布与信息管理 (三)身份标识与鉴别 (四)证书生命周期操作要求 (五)认证机构设施、管理和操作控制 (六)认证系统技术安全控制 (七)证书、证书吊销列表和在线证书状态协议 (八)认证机构审计和其他评估 (九)法律责任和其他业务条款二、主要组成部分的内容说明(一) 概括性描述对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认 证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给 出电子认证业务规则中使用的定义和缩写。1、概述对电子认证业务规则提供

3、一个概要性介绍,也可用于对电子认证服务机构的 概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方 式来表达电子认证服务机构的结构。22、文档名称与标识关于电子认证业务规则的任何适用名称或标识符,包括 ASN.1 对象标识符的 说明。3、电子认证活动参与者* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者 进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准 更新证书或更新密钥的申请。* 订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即 为电子签名人。* 依赖方,依赖于

4、证书真实性的实体。在电子签名应用中,即为电子签名依 赖方。依赖方可以是、也可以不是一个订户。* 其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认 证相关服务的实体。4、证书应用* 所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、 旅游订单等。* 所颁发证书禁止的证书应用列表或者类型。5、策略管理描述负责起草、注册、维护和更新当前电子认证业务规则的组织名称和邮件 地址,联系人姓名、电子邮件地址、电话号码和传真号码。作为一种替代方案, 可不指定真实人,而是定义一个称谓或角色、一个电子邮件别名或其他通用的 联系信息。主管部分也可能会制定专门的证书策略,并可指定某个电

5、子认证服务机构的 电子认证业务规则符合某种证书策略。如果这样,则需要在此声明批准电子认 证业务规则的人或机构,包括名称、电子邮件、电话、传真以及其他常用信息, 并说明批准流程。6、定义和缩写文档中所使用术语的定义一览表,还包括缩略语及其含义的一览表。例如:电子认证服务机构(CA)注册机构(RA)证书策略(CP)电子认证业务规则(CPS)证书吊销列表(CRL)在线证书状态协议(OCSP)电子签名认证证书(证书)电子签名人(证书持有者、订户)电子签名依赖方(证书使用者、依赖方)私钥(电子签名制作数据)公钥(电子签名验证数据)(二)信息发布与信息管理描述任何与认证信息发布相关的内容,包括信息库的运营

6、者、运营者的职责、 信息发布的频率以及对所发布信息的访问控制等。31、运营信息库的实体标识,如电子认证服务机构、或独立信息库服务提供者。2、运营者发布其业务实践、证书和证书当前状态的职责,标识出对公众可用 和不可用的项、子项和元素。3、信息发布的时间和频率。4、对发布信息的访问控制,包括 CP、CPS、证书、OCSP 和 CRL。(三) 身份标识与鉴别描述电子认证服务机构在颁发证书之前,对证书申请者的身份和其他属性进 行鉴别的过程,以及标识和鉴别密钥更新请求者和吊销请求者的方法。说明命 名规则,包括在某些名称中对商标权的承认问题。1、命名* 分配给实体的名称类型,如 X.500 甄别名、RFC

7、-822 名称、X.400 名称。* 名称是否一定要有意义。* 订户是否能够使用匿名或假名,如果可以,订户可以使用或将被分配给什 么样的名称。* 理解不同名称形式的规则,如 X.500 标准和 RFC-822。* 名称是否需要唯一。* 对商标的承认、鉴别。2、初始身份确认* 对机构申请者的组织身份进行身份标识和鉴别的要求,如咨询提供组织身 份识别服务的数据库、或检查组织的资质文件。* 对于个人订户或代表组织订户的个人进行身份标识和鉴别的要求。* 在初始注册中没有验证的订户信息列表。* 对机构的验证涉及确定一个人是否具有特定的权力或许可,包括代表组织 获取证书的许可。3、密钥更新请求中的标识与鉴

8、别针对于密钥更新中对每个实体身份标识和鉴别过程,说明下列元素。* 常规密钥更新中对身份标识和鉴别的要求,如使用当前有效密钥对包含新 密钥的密钥更新请求进行签名。* 证书被吊销后密钥更新中对身份标识和鉴别的要求,如使用原始身份验证 相同的流程。4、吊销请求中的标识与鉴别描述对每个实体类型(电子认证服务机构、注册机构、订户或其他参与者) 吊销请求的身份标识和鉴别过程。(四)证书生命周期操作要求说明在证书生命周期方面对电子认证服务机构及相关实体的要求,注册机构、 订户或其他参与者的要求,在每个子项中可能需要对电子认证服务机构、注册 机构、订户或其他参与者予以分别考虑。1、证书申请* 提交证书申请的实

9、体,如证书申请者或注册机构。* 实体在提交证书申请时所使用的注册过程,以及在此过程中各方的责任。4为了接收证书申请,电子认证服务机构或注册机构可能负有建立注册过程的责 任。同样,证书申请者可能负有在其证书申请中提供准确信息的责任。2、证书申请处理描述处理证书申请的过程。例如,为了验证证书申请,电子认证服务机构或 注册机构可能要执行身份标识和鉴别流程,根据这些步骤,电子认证服务机构 或注册机构将可能依照某些准则或者批准或者拒绝该证书申请。最后,要设置 电子认证服务机构或注册机构必须受理并处理证书申请的时间期限。3、证书签发* 在证书签发过程中电子认证服务机构的行为,如电子认证服务机构验证注 册机

10、构签名和确认注册机构的权限、并生成证书的过程。* 电子认证服务机构签发证书时对订户的通告机制,如电子认证服务机构用 电子邮件将证书发送给订户或注册机构,或者用电子邮件将允许订户到网站下 载证书的信息告知用户。4、证书接受* 构成申请者接受证书的行为。这种行为可以包括表示接受的确认步骤、暗 示接受的操作、没能成功反对证书或其内容。* 电子认证服务机构对证书的发布方式,例如电子认证服务机构可以将证书 发布到 X.500 或 LDAP 证书库。* 电子认证服务机构在颁发证书时对其他实体的通告,例如,电子认证服务 机构可能发送证书到注册机构。5、密钥对和证书的使用描述与密钥对和证书使用相关的责任。*

11、与订户使用其私钥和证书相关的订户责任。例如,订户可能被要求只能在 恰当的应用范围内使用私钥和证书,这些应用在 CP 中设置,并且与有关的证书 内容相一致(如密钥用途字段) 。* 与使用订户公钥和证书相关的依赖方责任。例如,依赖方只能在恰当的应 用范围内依赖于证书,这些应用在 CP 中设置,并且与有关的证书内容相一致 (如密钥用途扩展) 。6、证书更新证书更新指在不改变证书中订户的公钥或其他任何信息的情况下,为订户签 发一张新证书。* 进行证书更新的情形,如证书已到期,但策略允许继续使用相同的密钥对。* 请求更新的实体,如订户、注册机构或电子认证服务机构可以自动更新订 户证书。* 为签发新证书,

12、电子认证服务机构或注册机构处理更新请求的过程,如使 用令牌,比如口令,来重新鉴别订户、或使用与原始签发证书相同的过程。* 颁发新证书给订户时的通告。* 构成接受更新证书的行为。* 电子认证服务机构对更新证书的发布。* 电子认证服务机构在颁发证书时对其他实体的通告。7、证书密钥更新证书密钥更新指订户或其他参与者生成一对新密钥并申请为新公钥签发一个 新证书。5* 证书密钥更新的情形,如因私钥泄漏而吊销证书之后、或者证书到期并且 密钥对的使用期也到期之后。* 可以请求证书密钥更新的实体,如订户。* 为签发新证书,电子认证服务机构或注册机构处理密钥更新请求的过程。* 颁发新证书给订户时的通告。* 构成

13、接受密钥更新证书的行为。* 电子认证服务机构对密钥更新证书的发布。* 电子认证服务机构在颁发证书时对其他实体的通告。8、证书变更证书变更指改变证书中除订户公钥之外的信息而签发新证书的情形。* 证书变更的情形,如名称改变等而造成的实体身份改变。* 可以请求证书变更的实体,如订户或注册机构。* 为签发新证书,电子认证服务机构或注册机构处理证书变更请求的过程, 如采用与原始证书签发相同的过程。* 颁发新证书给订户时的通告。* 构成接受变更证书的行为。* 电子认证服务机构对变更证书的发布。* 电子认证服务机构在颁发证书时对其他实体的通告。9、证书吊销和挂起* 证书挂起的情形和证书必须吊销的情形,例如订

14、户合同期满、密码令牌丢 失或怀疑私钥泄漏。* 可以请求吊销证书的实体,例如对最终用户证书而言,可能是订户、注册 机构或电子认证服务机构。* 证书吊销请求的流程,如由注册机构签署的消息、由订户签署的消息或由 注册机构电话通知。* 订户可用的宽限期,订户必须在此时间内提出吊销请求。* 电子认证服务机构必须处理吊销请求的时间。* 为检查其所依赖证书的状态,依赖方可以或必须使用的检查机制。* 如果使用 CRL,其发布频率是多少。* 如果使用 CRL,产生 CRL 并将其发布到证书库的最大延迟是多少(也就是 在生成 CRL 之后,在将其发布到证书库中所用的处理和通信相关最长延迟) 。* 在线证书状态查询

15、的可用性,例如 OCSP 和状态查询的 Web 网站。* 依赖方执行在线吊销状态查询的要求。* 吊销信息的其他可用发布形式。* 当因为私钥损害而造成证书吊销或挂起时,上述规定的不同之处(与其他 原因造成吊销或挂起相比) 。* 证书挂起的情形。* 可以请求证书挂起的实体,例如对于最终用户证书而言,订户、订户的上 级、或者注册机构。* 请求证书挂起的过程,如由订户或注册机构签署的消息、或由注册机构电 话请求。* 证书挂起的最长时间。10、证书状态服务* 证书状态查询服务的操作特点。6* 查询服务的可用性,以及服务不可用时的适用策略。* 查询服务的其他可选特征。11、停止使用认证服务说明订户停止使用

16、电子认证服务时所使用的过程。* 停止使用认证服务时的证书吊销(依赖于停止使用认证服务是因为证书到 期,还是因为服务终止,可能会有所不同) 。 12、密钥生成、备份和恢复说明与私钥生成、备份和恢复相关的策略和业务实践(通过电子认证服务机 构或其他可信第三方) 。* 包含私钥生成、备份和恢复的策略和实践的文档标识,或此类策略和实践 一览表。* 包含会话密钥封装和恢复的策略和实践的文档标识,或此类策略和实践一 览表。(五)认证机构设施、管理和操作控制描述物理环境、操作过程和人员的安全控制。电子认证服务机构使用这些控 制手段来安全地实现密钥生成、实体鉴别、证书签发、证书吊销、审计和归档 等功能。也可定义信息库、注册机构、订户或其他参与者的非技术安全控制。1、物理控制* 场所区域和建筑,如对高安全区的建筑要求,使用带锁的房间、屏蔽室、 保险柜、橱柜。* 物理访问,也就是从场所的一个区域到另一个区域或进入安全区的访问控 制机制。* 电力和空调。* 水患防治。* 火灾预防和保护。* 介质存储,例如需要在不同的场所利用备份介质进行存储,该场所在物理 上是安全的,能够防止水灾和火灾的破坏。* 废物处理

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号