国家电子政务外网电子认证业务规则docWord文档格式.docx
- 文档编号:7117039
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:66
- 大小:58.27KB
国家电子政务外网电子认证业务规则docWord文档格式.docx
《国家电子政务外网电子认证业务规则docWord文档格式.docx》由会员分享,可在线阅读,更多相关《国家电子政务外网电子认证业务规则docWord文档格式.docx(66页珍藏版)》请在冰点文库上搜索。
3.3.2吊销后密钥更新的标识与鉴别20
3.4吊销请求的标识与鉴别20
1)在证书持有者自己吊销时,可接受的鉴别过程如下:
20
4证书生命周期操作要求20
4.1证书申请20
4.1.1证书申请实体20
4.1.2注册过程与责任21
4.2证书申请处理21
4.2.1执行识别与鉴别功能21
4.2.2证书申请批准和拒绝21
4.2.3处理证书申请的时间22
4.3证书签发22
4.3.1证书签发过程中政务CA和RA注册机构的行为22
4.3.2政务CA和RA注册机构对证书持有者的通告22
4.4证书接受23
4.4.1构成接受证书的行为23
4.4.2政务CA对证书的发布4.4.3政务CA对其他实体的通告
4.5密钥对和证书的使用23
4.5.1证书使用者私钥和证书的使用23
4.5.2依赖方公钥和证书的使用24
4.6证书更新24
4.6.1证书更新的情形25
4.6.2请求证书更新的实体25
4.6.3证书更新请求的处理25
4.6.4签发新证书时对证书持用者的通告25
4.6.5构成接受更新证书的行为26
4.6.6政务CA对更新证书的发布26
4.6.7政务CA对其他实体的通告26
4.7证书密钥更新26
4.7.1证书密钥更新的情形26
4.7.2请求证书密钥更新的实体26
4.7.3证书密钥更新请求的处理27
4.7.4签发新证书时对证书使用者的通告27
4.7.5构成接受密钥更新证书的行为27
4.7.6政务CA对密钥更新证书的发布27
4.7.7政务CA对其他实体的告知27
4.8证书变更27
4.8.1证书变更的情形27
4.8.2请求证书变更的实体28
4.8.3证书变更请求的处理28
4.8.4签发新证书时对证书持有者的通告28
4.8.5构成接受变更证书的行为28
4.8.6政务CA对变更证书的发布28
4.8.7政务CA对其他实体的通告28
4.9证书吊销和挂起28
4.9.1证书吊销的情形28
4.9.2请求证书吊销的实体29
4.9.3吊销请求的流程29
4.9.4吊销请求宽限期29
4.9.5政务CA处理吊销请求的时限30
4.9.6依赖方检查证书吊销的要求30
4.9.7CRL发布频率30
4.9.8CRL发布的最大滞后时间30
4.9.9在线状态查询的可用性30
4.9.10在线状态查询要求30
4.9.11吊销信息的其他发布形式31
4.9.12密钥损害的特别处理要求31
4.9.13证书挂起的情形31
4.9.14请求证书挂起的实体31
4.9.15挂起请求的流程31
4.9.16挂起的期限限制31
4.10证书冻结31
4.10.1证书冻结的情形4.10.2请求证书冻结的实体4.10.3证书冻结与解冻流程
4.10.4冻结的期限限制32
4.11证书状态服务33
4.11.1操作特征33
4.11.2服务可用性33
4.11.3可选特征33
4.12证书持有终止33
4.13密钥生成、备份与恢复34
4.13.1密钥生成、备份与恢复的策略和行为34
4.13.2会话密钥的封装与恢复的策略与行为34
5认证机构设施、管理和操作控制34
5.1物理控制34
5.1.1场地位置与建筑34
5.1.2物理访问35
5.1.3电力与空调35
5.1.4水患防治35
5.1.5火灾防护35
5.1.6介质存储35
5.1.7废物处理36
5.1.8异地备份36
5.1.9注册机构物理控制36
5.2程序控制36
5.2.1可信角色36
5.2.2每项任务需要的人数36
5.2.3每个角色的识别与鉴别37
5.2.4要求职责分割的角色37
5.3人员控制37
5.3.1资格、经历和无过失要求37
5.3.2背景审查程序37
5.3.3培训要求38
5.3.4工作岗位轮换周期和顺序38
5.3.5未授权行为的处罚38
5.3.6提供给员工的文档38
5.4审计日志程序38
5.4.1记录事件的类型38
5.4.2处理日志的周期39
5.4.3审计日志的保存期限39
5.4.4审计日志的保护39
5.4.5审计日志备份程序39
5.4.6审计收集系统40
5.4.7对导致事件实体的告知40
5.4.8脆弱性评估40
5.5记录归档40
5.5.1归档记录的类型40
5.5.2归档记录的保存期限40
5.5.3归档文件的保护40
5.5.4归档文件的备份程序41
5.5.5记录的时间戳要求41
5.5.6获得和检验归档信息41
5.6事故与灾难恢复41
5.6.1事故和损害处理流程41
5.6.2计算资源、软件、数据的损坏41
5.6.3实体私钥损害处理程序42
5.6.4灾难后的业务连续性能力42
5.7政务CA或注册机构的终止42
6认证系统技术安全控制42
6.1密钥对的生成和安装42
6.1.1密钥对的生成42
6.1.2私钥传送给证书使用者43
6.1.3公钥传送给证书签发机构43
6.1.4政务CA公钥传送给依赖方43
6.1.5密钥的长度43
6.1.6公钥参数的生成和质量保证43
6.1.7密钥的使用44
6.2私钥保护和密码模块工程控制44
6.2.1密码模块标准和控制44
6.2.2私钥多人控制(m选n)44
6.2.3私钥托管44
6.2.4私钥备份45
6.2.5私钥归档45
6.2.6私钥导入、导出密码模块45
6.2.7私钥在密码模块的存储45
6.2.8激活私钥的方法45
6.2.9冻结私钥的方法45
6.2.10销毁私钥的方法46
6.2.11密码模块应达到的标准46
6.3政务CA密钥的保管46
6.3.1公钥归档46
6.3.2证书和密钥对使用期限46
6.4系统升级与相关安全性控制46
6.4.1系统升级控制47
6.4.2安全管理控制47
6.5网络安全控制47
6.6生命周期技术控制47
6.6.1系统开发控制47
6.6.2安全管理控制48
6.6.3生命期的安全控制48
6.7网络的安全控制48
6.8时间戳48
7证书、证书撤销列表和在线证书状态协议49
7.1证书49
7.1.1证书格式标准49
7.1.2证书标准项49
7.1.3证书扩展项49
7.1.4算法对象标识符49
7.1.5名称形式49
7.1.6名称限制50
7.1.7证书策略对象标识符50
7.1.8策略限制扩展项的用法50
7.1.9策略限定符的语法和语义50
7.1.10关键证书策略扩展项的处理规则50
7.2证书撤销列表51
7.2.1版本号51
7.2.2CRL和CRL条目扩展项51
7.3在线证书状态协议51
7.3.1版本号51
7.3.2OCSP扩展项52
8认证机构审计和其它评估52
8.1评估的频率或情形52
8.2评估者的资质52
8.3评估者与被评估者的关系52
8.4评估内容52
8.5对问题与不足采取的措施53
8.6评估结果的传达与发布53
9法律责任和其他业务条款53
9.1费用53
9.2财务责任53
9.3业务信息保密53
9.3.1保密信息范围54
9.3.2不属于保密的信息54
9.3.3保护机密信息的责任55
9.4个人信息私密性55
9.4.1隐私保密方案55
9.4.2作为隐私处理的信息55
9.4.3不视为隐私的信息55
9.4.4保护隐私的责任55
9.4.5使用隐私的告知与同意55
9.4.6依法律或行政程序的信息披露56
9.4.7其它信息披露情形56
9.5知识产权56
9.6权利和责任56
9.6.1政务CA的权利和责任56
9.6.2政务CA下属RA的权利和责任58
9.6.3证书持有者的权利和责任59
9.6.4证书依赖方的权利和责任60
9.6.5其他参与者的权利和责任60
9.7有限责任与免责条款60
9.7.1特定责任的排除60
9.7.2免责条款60
9.8赔偿62
9.8.1理赔62
9.8.2索赔62
9.9CPS的有效期与终止62
9.10CPS的修订62
9.11争议解决63
9.12管辖法律63
9.13与适用法律的符合性63
9.14一般条款63
9.14.1完整协议63
9.14.2分割性63
9.14.3强制执行64
9.14.4不可抗力64
9.15各种规范的冲突64
9.16补充说明64
1
概括性描述
1.1概述
国家电子政务外网电子认证业务规则(以下简称《电子认证业务规则》,CPS),由国家电子政务外网管理中心电子认证办公室参照《中华人民共和国电子签名法》,按照国家密码管理局《电子政务电子认证服务管理办法》和《电子政务电子认证服务管理办法》,依据工业与信息化部颁布的《电子认证业务规则规范》制订,并报国家密码管理局备案。
2010年,国家发展改革委人事司批准成立“国家电子政务外网管理中心电子认证办公室”,主要职责是负责电子政务外网数字证书认证业务的相关管理、运行和服务工作,是国家电子政务外网电子认证工作统一对外管理和服务窗口。
电子政务外网电子认证服务工作由国家电子政务外网数字证书中心(以下简称政务CA,缩写为ZWCA)承担,2011年政务外网数字证书中心获得国家密码管理局颁发的“电子政务电子认证服务机构”(编号B001)资质。
政务CA是专业化电子政务证书认证机构,国家政务外网的信息安全基础设施,建有独立密钥管理中心,以密码技术为核心技术,其签发的数字证书是电子政务信息交换中确认身份、控制访问权限,保证信息源真实性、完整性和信息发送不可抵赖性的重要手段。
对网络防泄密、抗侵入、拒黑客、识真伪、保信息安全有着不可替代的重要作用。
本规则阐明了政务CA的证书策略开展业务,包括:
审批、鉴证、发放、作废、替换、冻结、解冻和更新证书业务的方式和过程、相应的服务、法律和技术上的措施和保障。
国家政务外网数字证书中心负责其注册中心(RA)和服务点(LRA)的建设和运行管理指导。
国家政务外网数字证书中心的主要业务内容包括:
(一)制作、签发、管理证书;
(二)对签发的证书的真实性进行确认;
(三)提供证书目录查询服务;
(四)其他经主管部门核准办理的业务。
利用政务CA签发的证书以及相关PKI技术可以实现以下功能:
(一)能够确认数据电文签署人的身份;
(二)能够保证数据电文在传递、接收和储存过程中的完整性;
(三)能够避免系统被侵入或者人为破坏以及数据电文被篡改;
(四)能够保证网络信息的安全加密、解密。
国家政务外网电子认证业务规则是政务CA对所提供的全部证书服务生命周期中的业务实践(如发放、审批、作废、更新证书或密钥)所遵循的规范的详细描述和声明,包括责任范围、作业操作规范和信息安全保障措施等内容,是证书管理、证书服务、证书应用、证书分类、证书授权、证书责任等政策规则的集合,主要由以下几部分组成:
(一)概括性描述
(二)信息发布与信息管理
(三)身份标识与鉴别
(四)证书生命周期操作要求
(五)认证机构设施、管理和操作控制
(六)认证系统技术安全控制
(七)证书、证书撤销列表和在线证书状态协议
(八)认证机构审计和其他评估
(九)法律责任和其他业务条款
政务CA认证体系内的实体以及政务CA证书持有者,必须完整地理解和执行国家政务外网电子认证业务规则所规定的条款,承担相应的责任和义务。
1.2文档名称与标识
本文档名称:
《国家政务外网电子认证业务规则》。
本电子认证业务规则在政务CA的网站上予以发布。
1.3电子认证活动参与者
1.3.1政务CA
政务CA是所有国家政务外网RA和实体的根。
政务CA制定政务CA管理文档,各种审计记录和各类表单所形成的日志,其中包括政务CA对外运营策略和规范的管理。
并且同时提供5*8管理计划和维护计划。
政务CA依法向证书申请者颁发证书、撤销证书、发布证书注销列表等对证书操作的一系列流程,并为政务CA制定出具体政策、管理制度、运作规范和相关的规则。
政务CA根据国家相应的法律制定政务CA法律责任书,并有权让证书用户遵守政务CA的规定。
政务CA制定财务责任书,并有权让证书用户遵守政务CA的规定。
政务CA认证系统采用国际领先的PKI技术,采用双层结构,最高层也就是第一层CA叫做根CA,政务CA称为二级CA用于签发证书。
政务CA由数字证书中心(CA)和注册中心(RA)两大部分组成。
1.3.2注册机构(RA)
国家政务外网证书注册机构(RegistrationAuthority),简称RA,是政务CA授权委托的下属机构,也称国家政务外网服务分中心,是政务CA数字认证体系的一个组成部分,在政务CA的统一领导和集中管理下开展业务活动。
政务CA-RA:
指RA服务器设立在政务CA的RA系统,是政务CA直属RA,归政务CA所有,为不建立RA系统、没有RA操作人员的部委或地方提供服务。
各部委或地方RA:
指RA服务器设立在部委或地方,归建设方所有,为部委或地方提供服务。
1.3.3证书持有者
证书持有者,也称为证书用户,指持有政务CA颁发的各类证书且持有与列示于证书中的公钥相对应的私钥的人物对象或单位组织,包括个人、单位、团体、提供国家政务外网服务或享受国家政务外网服务的实体和应用服务器等。
1.3.4依赖(证书)方
依赖证书中的数据来做决定的用户或代理。
即在政务CA证书服务体系之内作为依赖于证书真实性的实体,在电子签名应用中,为电子签名依赖方。
依赖方可以是也可以不是一个用户。
在政务CA体系中,是信任政务CA证书,可以对使用政务CA证书机制进行的数字签名进行验证,使用其他政务CA证书用户的公钥加密信息的实体。
1.3.5证书使用者
从政务CA接收证书的实体。
在电子签名应用中,证书使用者即为电子签名人。
指证书和证书相关服务的使用者,目前政务CA的证书在电子政务领域有广泛的应用。
1.3.6其它参与者
其它参与指政务CA证书服务体系提供相关服务的其它实体或个人。
1.4证书应用
1.4.1证书类型及应用范围
政务CA拥有下表所属的证书类型。
除政务CA认证业务说明或证书自身禁止,使用政务CA所提供的任何证书应由每个证书申请者自由选择。
政务CA证书种类及应用范围
证书种类
应用范围
个人证书
用于证明个人身份
机构证书
用于证明机构身份
设备证书
用于验证设备,主要用于网站服务器
代码签名证书
用于程序代码签名
认证机构证书
用于证明认证机构
1.4.2证书禁止使用的情形
政务CA发放的数字证书禁止在任何违反国家法律法规或破坏国家安全的情形下使用,否则由此造成的法律后果由用户自己承担。
1.5策略管理
1.5.1策略文档管理机构
本CPS管理机构为国家政务外网数字证书中心,负责《电子认证业务规则》的制订、发布和更新事宜。
本《电子认证业务规则》由国家政务外网数字证书中心拥用完全版权。
1.5.2联系人
联系人:
政务CA
地址:
北京市西城区三里河路58号邮编:
100045
电话:
010-68557160
传真:
010-68558058
电子邮址:
cegnca@
1.5.3决定电子认证业务说明符合策略的机构
国家电子政务外网管理中心拥有对政务CA电子认证业务规则的决策权和审批权。
1.5.4电子认证业务说明批准程序
CPS批准主要分为计划、编写(修订)、审议和发布四个阶段:
1)计划:
政务CACPS编写组根据相关法律政策和运营策略提出CPS编写(修订)计划。
2)编写(修订):
由CPS编写组完成具体条款编写工作。
3)审议:
编写(修订)后的CPS递交国家电子政务外网管理中心电子认证办公室审议。
4)发布:
国家电子政务外网管理中心电子认证办公室审议通过后,通过政务CA网站或其他形式正式对外发布。
政务CA对CPS的版本号将进行严格控制。
若本CPS的变化会极大地影响用户使用政务CA发布的证书和证书撤销列表,则应在30天内通知用户,并增加CPS的版本号;
若本CPS的变更不会或很小的影响用户使用政务CA发布的证书和证书撤销列表,则不用改变本CPS版本号也无须通知用户。
1.6定义和缩写
1.6.1定义
1)公钥基础设施(PKI):
是利用公钥加密技术为电子政务的开展提供一套安全基础平台的技术和规范。
它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,提供互联网环境的身份鉴别、信息加解密、数据完整性和不可否认性服务。
2)在线证书状态协议(OCSP):
IETF颁布的用于检查证书在某一交易时间是否有效的标准。
3)证书使用者(Subscriber):
被颁发给一个证书的证书主体。
4)依赖方(Relyingparty):
证书的接收者,他依赖于该证书和(或)该证书所验证的数字签名。
在本标准中,术语“证书使用者”与“依赖方”可互换使用。
5)唯一甄别名(DN,DistinguishedName):
在证书的主体名称域中,用来唯一标识用户的X.500名称。
此域需要填写反映用户真实身份的、具有实际意义的、与法律不冲突的内容。
1.6.2缩略语
DNDistinguishedName唯一甄别名
LDAPLightweightDirectoryAccessProtocol轻量目录访问协议
RARegistrationAuthority注册权威
PINPersonalIdentificationNumber个人识别码
PKIPublicKeyInfrastructure公钥基础设施
2信息发布与信息管理
2.1认证信息的发布
政务CA在对外的目录服务器中公布证书的相关信息,以定期和定时的方式公布失效证书信息(证书撤销列表CRL)。
在政务CA的网站上发布CPS等相关信息。
2.2发布的时间或频率
政务CA签发的证书在最终用户收到证书之后立即发布。
政务CA的CRL可以实时发布和定期发布。
CPS在版本更新后立即在网站上更新发布。
2.3信息库访问控制
在政务CA,只有经过严格授权的CA管理员可以访问CA数据库中的数据;
在政务CA,只有经过严格授权的RA管理员可以访问存储在RA服务器数据库中的数据;
用户可以访问政务CA目录服务器中的数据,没有权限访问CA和RA数据库中的数据。
3身份识别与鉴别
3.1命名
3.1.1名称类型
证书从应用角度分为系统证书和用户证书,命名由用户应用决定。
政务CA证书体系中采用X.500定义的唯一甄别名(DN)标准来唯一标识一张证书使用者的身份信息。
根据证书对应实体的类型不同,政务CA签发的证书的实体名字可以是人员姓名、组织机构名称、部门名称、域名等,命名符合X.500唯一甄别名规定。
在通常情况下,政务CA证书主体的甄别名中的通用名(CN=)部分被鉴别和确认:
1)包含在组织机构身份证书主体甄别名中的通用名是一个机构的法定名称或法定机构中部门的名称。
2)包含在服务器证书主体甄别名中的的通用名是一个该组织机构拥有或授权使用的域名。
3)个人证书的通用名是这个人的通常被接受的名字。
3.1.2对名称有意义的要求
政务CA签发的证书所包含的名称具有通常理解的语义,用它可以确定证书主体中的个人、组织机构或设备的身份。
3.1.3证书持有者的匿名或伪名
证书持有者不能使用匿名或伪名申请证书。
3.1.4理解不同名称形式的规则
依X.500甄别名命名规则解释。
3.1.5名称的唯一性
政务CA签发给某个实体的证书,其主体甄别名,在该CA信任域内是唯一的,其中的例外是签发双证书时(一个签名证书、一个加密证书),属于同一实体的两个证书具有同样的主体甄别名,但证书的密钥用法扩展项不同。
3.1.6商标的识别、鉴别和角色
证书持有者不应在其证书申请中使用侵害他人知识产权的名称,但政务CA并不决定证书申请者是否具有相关知识产权,也无需判断、裁决或解决任何关于域名、名称、商标、服务标的争端问题。
当出现此类争端时,政务CA有权拒绝或挂起证书申请,直到争端得到有效解决。
3.2初始身份确认
3.2.1证明拥有私钥的方法
政务CA通过使用经数字签名的PKCS#10格式的证书请求,或其它相当的密码格式,或其他政务CA批准的方法,验证证书申请者拥有私钥。
如果政务CA代表证书持有者产生一个密钥对(如,将产生的密钥对放置到智能卡上),那么,这个要求不适用。
3.2.2组织机构身份的鉴别
对于组织机构证书,包括组织机构身份证书
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家 电子政务 电子 认证 业务 规则 doc