1、ICS 35.040 L 80 B 中华人民共和国国家标准GB/T 31508-2015 . 信息安全技术公钥基础设施数字证书策略分类分级规范Information security techniques-Public key infrastructure一Digital certificate policies classification and grading specification 2015-05-15发布2016-01-01实施耐。n1f,.、争叹. ,., . . . (f 可也阳、军令:定代中华人民共和国国家质量监督检验检蔑总局也士中国国家标准化管理委员会。叩肌肌r叫叫埔略电
2、巳省句啤m向3GB/T 31508-2015 目次前言. . . . . .m 引言. . . . . . . . w 1 范围.2 规范性引用文件3 术语和定义4 缩略语. . . . . 3 5 摄述6 信息发布和证书资料库责任.6 7 身份标识与鉴别. . . . . . 7 8 证书生命周期操作要求.12 9 设施、管理和运作控制. . . . 20 10 技术安全控制. 11 证书、证书撤销列表和在线证书状态协议.43 12 合规性审计和相关评估. . . . . . . 43 I GB/T 31508-2015 .,_ .a. 剧吕本标准按照GB/T1.1-2009给出的规则起草。
3、请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全罔信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位z中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司、中国科学院软件所。本标准主要起草人z荆继武、高能、林璋锵、王展、马存庆、向继、王跃武、夏鲁宁、查达仁、王平建、王琼霄、詹榜华、连一峰。m皿GB/T 31508-2015 51 使用电子认证服务进行电子交易的实体主要关心两个问题z一是交易对象的合法公钥是什么z二是交易对象的数字证书的安全性能杏用于本交易。为了体现第二方面的信息,数字证书中包含了一个由电子认证服务机构提
4、供的证书策略标识,它表明了证书持有者(公钥所对应的用户的安全属性。数字证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度,以便正确使用或依赖该证书(如z仅用于测试的,或者仅用于访问网络,或者可用于金融交易并有10万元担保。因此,证书策略的实施是数字证书实际应用中不可缺少的一部分,也是提供分层次可靠的电子认证服务的基础之一。目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书中没有说明公钥可以应用在什么场景,适用于什么样的安全需求。这导致了证书的使用者对于证书的用途十分茫然,限制了数字证书的广泛应用。另外,由于缺乏数字证书使用范围或质量的标准,各电子认证服务机构
5、证书签发的安全措施如E证书签发过程中的身份鉴别、物理设备安全、责任和赔付等)也存在较大差距。这种不一致导致了证书依赖方的许多困惑,阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接获得证书的安全信息,对证书进行自动地验证。而标准化的证书策略能够使用户清晰地认识到证书的质量和安全通逾,方便应用系统的开发设计。因此,对证书策略进行规范和标准化,是推进电子商务、电子政务系统之间互联互通的重要一步。通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市场规划出分级的、多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进电子认证服务机构之间的良性竞争,提升服务质量,推动
6、电子认证服务市场的有序发展。另外,随着证书策略的分级分类逐步的实施,也可以促进电子认证服务机构评估和许可工作的规范化,即审查电子认证服务机构是否真正地按照其证书策略要求的规范来运营,是否提供相应的安全保障,这也是构建证书策略分级分类体系的重要意义。N 1 范围信息安全技术公钥基础设施数字证书策略分类分级规范GB/T 31508-2015 本标准通过分类分级的方式,规范了用于商业交易、设备和公众服务领域的电子认证服务中的8种数字证书策略。本标准适用于我国电子商务和公众服务中所涉及的数字证书。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
7、凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20518 2006信息安全技术公钥基础设施数字证书格式GB/T 26855-2011 信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T 29241 2012 信息安全技术公钥基础设施PKI互操作性评估准则3 术语和定义3.1 3.2 下列术语和定义适用于本文件,证书签发凯构certification authority 负责签发证书和维护证书状态的实体。订户注册机构registration authority 负责订户的标识和鉴别,批准或拒绝订户的证书申请、撤销申请和挂起申请,发起证书的撤销和挂起的实体。
8、3.3 电子认证服务舰掏certification service provider 依据电子签名法和电子认证服务管理办法获得电子认证服务许可证向公众提供电子认证业务的机构,一般包含有证书签发机构和订户注册机构。3.4 订户subscriber 与电子认证服务机构签订协议,接受电子认证服务机构提供的服务的实体。订户应能对证书对应的私钥的使用负有法律责任。3.5 依赖方relying party 接受电子认证服务机构的依旗方协议,独立地判断证书的安全性是否满足其应用的安全需求,并验证证书和相应签名的实体。GB/T 31508-2015 3.6 3.7 3.8 3.9 证书主体subject 证书
9、中的主体(subject)项指明的、持有与证书中载明公钥相对应之私钥的实体。注z证书主体可以是订户自己,也可以是订户全权控制的设备、账号、域名、IP地址等.当订户是法人机构时,证书主体还可以是该法人机构的下属机构、下属职员、签约人和设备等。证书申请者certificate applicant 向电子认证服务机构申请证书的自然人或法人。注2证书申请成功后,证书申请者即为订户。证书申请递交人certificate application deliverer 向电子认证服务机构递交证书申请的自然人,可以是订户或者订户的合法代表。会话密钥session key 在-次会话中有效的对消息进行加密的密钥。
10、3.10 OCSP服务。CSPservice 在线的证书状态查询服务,该服务的主要对象是依膜方。3.11 可拚识名distinguished name 用于标识证书颁发机构和证书主体名称的序列,一般包括国家名称、省名、地理位置、机构名、机构单元名称和正式名称。3.12 带外方式out-of-band 指当前的通信方式之外的方式,如电子认证服务机构以网络方式提供证书申请与查询等服务,带外通讯方式包括但不限于报纸、电视、纸质文件、电话传真等。3.13 激活数据activation data 用于使密码模块进入可操作状态的数据,可以是口令、生物特征等。3.14 侬赖方协议relying party
11、agr民ment电子认证服务机构在电子认证业务规则中或单独载明的与依赖方之间的协议,规定双方在证书使用和管理过程中所承担的责任和义务。3.15 订户协议subscriber agr回ment电子认证服务机构与订户所签署的协议,规定了双方在证书使用和管理过程中所承担的责任和义务。3.16 证书信任链certificate chain 一个用于证书验证的有序证书序列,它包含一个终端订户证书和若干电子认证服务机构证书,证书信任链起始于根证书,终止于终端订户证书。3.17 证书撤销列表certificate revocation list 由电子认证服务机构维护的,包含由于各种原因(例如z私钥泄露、证
12、书中的信息发生改变)在有效2 期内被撤销的证书的列表。3.18 对象标识符object identifier 一串分段的数字,可以唯一地标识一个对象(例如z密码算法、证书策略等)。3.19 公钥基础设施public key infrastructure GB/T 31508-2015 一套由硬件、软件、人员、策略和流程构成的,用于生成、管理、分发、使用、存储和撤销数字证书的,利用公钥技术提供安全服务的基础设施。3.20 证书策略certificate policy 指定的一组规则,表明了证书在某特定范围内的、和(或某些具有相同安全需求的应用内的适用程度。3.21 电子认证业务规则certifi
13、cate practice statement 又称为认证业务声明,是电子认证服务机构对其签发、管理、撤销和更新证书的相关措施和实施行为的一份声明。3.22 密码摸块cptographic module 经国家密码管理部门批准使用的密码产品或密码系统,是指具有安全边界的用于进行密码相关的存储和计算操作的软件、固件或硬件组合。4 缩略语下列缩略语适用于本文件。CA:证书签发机构(CertificateAuthority) CRL:证书撤销列表(CertificateRevocation List) DN:可辨识名(DistinguishedName) IP:互联网协议(lnternetProto
14、col) LDAP:轻量级目录访问协议(Light-weightDirectory Access Protocol) OCSP:在线证书状态协议(OnlineCertificate Status Protocol) OID:对象标识符(ObjectIdentifier) PKI:公钥基础设施(PublicKey Infrastructure) URL:统一资源定位符(UniversalResource Locator) 5 概述电子认证服务机构可以根据需要签发符合一个或多个证书策略的证书。将本标准中的任何一个或多个证书策略包含在证书中,都应得到电子认证服务管理部门的许可。电子认证服务机构制定的
15、电子认证业务规则),原则上不应与本证书策略内容冲突。电子认证服务机构无法执行本证书策略中某些条款具体要求的,应向电子认证服务管理部门提出申请,经电子认证服务管理部门审核后方可使用该电子认证业务规则。电子认证活动的参与方包括电子认证服务机构、订户、依赖方以及其他参与者。本标准为数字证书签发和使用提供指导,为电子认证活动各参与方明确各自的权利和义务提供依据。本标准中证书策略3 GB/T 31508-2015 的适用对象包括2 电子认证服务机掏z签发符合一个或多个策略要求的证书的电子认证服务机构,应按照本标准中证书策略的要求制定电子认证业务规则),并按照其电子认证业务规则运营z 订户z认定本标准中证
16、书策略的规定可以满足其应用需求的订户,应当f解本标准中证书策略规定的订户权利和义务以及电子认证服务机构对其提供的保障z 依藏方z依赖方应依据本标准中证书策略的条款,确定在多大程度上信任符合本标准中证书策略的证书及其对应的电子签名。当依赖方使用符合某个证书策略的证书时,说明其已经了解相应证书策略内容并已确认该证书策略满足其安全需求。本标准中证书策略符合GB/T26855-2011的要求,各个证书策略的名称和对应OID如表l所示。表1证书策略名称和OID类别级别OID 基线基线待申请商业交易普通级待申请商业交易商业交易中级待申请商业交易高级待申请设备普通级待申请设备设备可信级待申请公众服务非实名级
17、待申请公众服务公众服务实名级待申请电子认证服务机构可根据应用的需要,将本标准中证书策略的OID包含在证书中。基线证书策略可应用于商业交易、设备和公众服务p商业交易普通级、商业交易中级和商业交易高级策略用于商业交易证书;设备普通级和设备可信级策略用于签发给设备的证书s公众服务非实名级和公众服务实名级策略用于提供和获取公共服务的证书。基线证书策略是进行电子认证业务的基本要求,气类证书策略都应该符合基线证书策略的要求E在同一类别的证书策略中,高等级的证书策略涵盖低等级证书策略的要求。本标准中证书策略支持的应用如表2所示。表2证书策略支持的应用类别级别支持的证书应用基线基线网络环境下的身份鉴别、网络安
18、全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其他应用身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、小额度交易商业交易普通级以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商业交易普通级证书策略支持的交易额度身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、中等额度交商业交易商业交易中级易以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定|的商业交易中级证书策略支持的交易额度身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应用、大额交易以商业交易高级及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商|业交易高级证
19、书策略支持的交易额度4 GB/T 31508-2015 表2(续)类别级别支持的证书应用设备普通级具有一般安全性要求的设备,如s安全邮件服务器、Web服务器等设备安全性要求较高的设备,如2支持在线电子支付、大规模用户管理等敏感应用设备可信级的服务器公众服务非实名级需要匿名性的公众服务,如s电子投票.网络安全登录、信息保护和通信密钥协商等基本应用以及当事人约定的其他应用公众服务需要实名性的公众服务,如z电子报税。网络安全登录、信息保护和通信密钥公众服务实名级协商等基本应用以及当事人约定的其他应用。签署需要承担法律责任但无经济责任的文书L-符合本标准中证书策略的证书还可以用于其他用途,条件z依赖方
20、根据自己的评估,有充分的理由信任该证书并确保该证书的使用不违反相关法律。订户或信赖方如果对电子认证服务机构有特殊要求,可以通过相关协议进行约定。本标准中证书策略不支持的应用如表3所示。表3证书策略不支持的应用类别级别不支持的证书应用一-一基线基线在违背相关法律法规规定的情况下使用 在违背相关法律法规规定的情况下使用s商业交易普通级 用于超过电子认证服务管理部门所规定的商业交易普通级证书策晦支持的交易额度的交易 在违背相关法律法规规定的情况下使用z商业交易商业交易中级 用于超过电子认证服务管理部门所规定的商业交易中级证书策Bf支持的交易额度的交易 在违背相关法律法规规定的情况下使用z商业交易高级
21、 用于超过电子认证服务管理部门所规定的商业交易高级证书策略支持的交易额度的交易 在违背相关法律法规规定的情况下使用z设备普通级 用于支撑金融交易等安全性敏感应用的设备s设备 设备以外的应用设备可信级 在违背相关法律法规规定的情况下使用z 用于设备以外的应用公众服务非实名级 在违背相关法律法规规定的情况下使用z 用于商业交易、需要实名性的公众服务公众服务公众服务实名级 在违背相关法律法规规定的情况下使用z 用于商业交易仅符合本标准中证书策略要求的证书不适用于可能直接导致人员伤亡或者严重破坏环境的应用系统,例如z核设备的操作系统、航天器的导航或通信系统、航空管制系统或者武器控制系统等。在本标准中,
22、未指明适用于特定策略的条款,适用于所有8种证书策略。5 GB/T 31508-2015 6 信息发布和证书资料库责任6.1 证书资料库电子认证服务机构应建立一个允许公众访问的在线资料库或者使用允许公众访问的在线第三方资料库,并将其签发的证书以及证书状态信息发布到该资料库上。6.2 证书信息的发布电子认证服务机构应将所签发的符合本标准中证书策略的证书及其状态信息发布到资料库上,同时还应发布以下文挡的最新版本,允许订户或依脑方进行在线查询: 证书策略文档3 (电子认证业务规则); 订户协议F 依赖方协议。6.3 发布信息的时间或频率电子认证服务机构的相关信息应在生效后及时发布。本标准中证书策略和对
23、应的电子认证业务规则的变更,应在审核通过之日起10天内发布。电子认证机构应保证在吊销列表的下次重新时间之前更新吊销列表。对于终端订户的证书撤销列表,应至少每24h签发一次,其中对于商业交易高级、设备可信级证书撤销列表,应至少每12h签发一次。电子认证服务机构证书的证书撤销列表应至少每年签发一次。当电子认证服务机构的证书需要撤销时签发证书撤销列表。6.4 证书资料库的访问控制电子认证服务机构不应使用技术手段来限制公众对以下信息的读取访问z证书策略、电子认证业务规则、证书和证书状态信息以及公开的订户协议和依赖方协议。电子认证服务机构应执行控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改,
24、本标准中证书策略对于资料库访问控制的要求,如表4所示。表4证书策略对资料库访问控制的要求类别级别资料库的访问控制要求基线基线应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改商业交易普通级应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改商业交易商业交易中级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改商业交易高级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改设备普通级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改设备设备可信级应采用访问控
25、制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改6 GB/T 31508-2015 表4(续类别级别资料库的访问控制要求公众服务非实名级应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的添加、删除或修改公众服务公众服务实名级应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库信息进行未经授权的添加、删除或修改7 身份标识与鉴别7.1 命名7.1.1 名称类型根据本标准中证书策略签发的证书应包含签发该证书的电子认证服务机构名称和证书主体的名称。出现在证书中颁发者(issuer)项的电子认证服务机构名称和出现在主体项的主体名称应采用G
26、B/T 20518-2006中的可辨识名(DN)。主体的唯一可辨识名中应含有订户的名称信息。证书中出现的电子认证服务机构的名称,包括英文缩写名称,应使用电子认证服务管理部门批准的名称。7. 1.2 名称意义化的要求证书中出现的证书主体名称应有实际意义。本标准中证书策略对主体名称意义的要求,如表5所示。表5证书策略的名称意义化要求类别级别主体名称要求基线基线主体名称应有实际意义,包括g合法的机构名称、个人姓名、电子邮件地址、用户账号和电话号码等可以用于识别主体身份的名称商业交易普通级主体名称应具有实际意义,例如z合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子邮件地址、电话号码等商业交
27、易商业交易中级主体名称应具有实际意义,例如=合法的机构名称或个人姓名、机构注册地址或个人家庭住址、电子邮件地址、电话号码等商业交易高级主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保联系到该主体设备普通级主体名称应包含网络上可标识该设备的名称,如z合法域名或lP地址设备主体名称应包含订户的名称以及网络上可标识该设备的名称,如g合法域名设备可信级或lP地址公众服务非实名级主体名称可以为假名,但应在证书签发机构中保存有对应的真实身份信息公众服务主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保公众服务实名级联系到该主体7 GB/T 31508-2015 7. 1.
28、3 订户的匿名或假名订户在证书中的名称可以是假名,但是电子认证服务机构应根据7.2的要求记录订户真实身份信息。本标准中证书策略对订户匿名或假名的要求,如表6所示。表6证书策略对订户的匿名或假名的要求类别级别订户假名的要求基线基线主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息商业交易普通级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息商业交易商业交易中级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据口的要求记录订户真实身份信息商业交易高级主体名称应为户口簿或身份证载明的正式名称,不允许是假名
29、设备普通级主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要求记录订户真实身份信息设备设备可信级主体名称应包含设备所有者在户口簿、身份证或组织机构代码证载明的正式名称,不允许是假名公众服务非实名级主体名称可以为假名,但是在电子认证服务机构的数据库中,应根据7.2的要公众服务求记录订户真实身份信息公众服务实名级主体名称应为户口簿或身份证载明的正式名称,不允许是假名一订户在证书中的名称不允许匿名。7. 1.4 不同名称格式的解释规则商业交易高级、公众服务实名级的证书主体的机构名称或个人姓名应填写在cn域。其他证书策略中对于不同名称格式的解释规则不作规定。7. 1.5 名称的幢一
30、性电子认证服务机构不应将主体名称相同的证书签发给不同的订户。电子认证服务机构应有统一的控制策略,保证每个证书主体拥有唯一的可辨识名。同一个订户可能拥有多个相同主体名称的证书。7. 1.6 商标的识别、鉴别和角色证书申请中包含侵犯第三方知识产权的域名、商标、商号或服务标识的,订户应承担相应侵权责任。电子认证服务机构不对产权证明材料进行审查。出现产权争端时,电子认证服务机构有权拒绝或挂起引起争端的订户的证书申请。7.2 初始申请证书的身份鉴别7.2.1 证明拥有私钥的方法证书申请者应证明持有与所要注册公钥相对应的私钥,证明的方法包括在证书请求消息中包含数字签名或其他与此相当的证明方法。对商业交易高
31、级、设备可信级证书的申请,应该采用挑战响应的方法证明申请者拥有对应的私钥。GB/T 31508-2015 如果密钥对是电子认证服务机构为订户生成的,或者是由电子认证服务机构向其他第三方权威机构申请获得的,则不需要进行上述证明,但应测试密钥对的正确性。7.2.2 机构身份的鉴别当证书申请者是机构时,本标准中证书策略要求电子认证服务机构至少应对机构身份进行如表7中所要求的鉴别。表7证书策略中机构身份鉴别的要求类JJlJ级别机构订户的鉴别 利用政府机构发放的合法性文件(如:I商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在z基线基线 通过电话、邮政
32、信函或类似方法确认该机构资料信息的真实性; 确认证书申请递交人得到了证书申请者的明确授权z 确认证书主体是由证书申请者全权控制,即证书申请者应表明其对该实体的控制能力 利用政府机构发放的合法性文件(如z工商营业执照、组织机构代码证)、权威第二方提供的身份证明或数据库服务,证明该机构的法人身份确实商业交易普通级有效存在z 通过电话、邮政信函或类似方法确认该机构资料信息的真实性z-确认证书申请递交人得到了证书申请者的明确授权z 确认证书主体是由证书申请者全权控制 利用政府机构发放的合法性文件(如s工商营业执照、组织机构代码证)、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在
33、s商业交易商业交易中级 通过电话、邮政信函或类似方法确认该机构资料信息的真实性z 确认证书申请递交人得到了证书申请者的明确授权z 确认证书主体是由证书申请者全权控制s 应检查机构订户的银行资信证明,1年内无不良信用记录 应检查由政府主管部门提供的机构合法性文件(如s工商营业执照、组织机构代码证)I 通过实地考察,核实机构资料和信息的真实性z商业交易高级 应检查机构的授权代表所持有的书面授权书z 确认证书主体是由证书申请者全权控制z 应检查机构订户的银行资信证明,3年内无不良信用记录z 注册资本不低于100万,或年营业额高于500万 利用政府机构发放的合法性文件(如:I商营业执照、组织机构代码证
34、、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在自设备设备普通级 通过电话、邮政信函或类似方法确认该机构资料信息的真实性; 证书申请递交人得到了证书申请者的明确授权; 确认证书主体是由证书申请者全权控制,检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明,如z域名管理机构提供的域名注册记录,网络服务提供商提供的IP地址使用合同9 GB/T 31508-2015 表7(续)类别级别机构订户的鉴别 利用政府机构发放的合法性文件(如z工商营业执照、组织机构代码证、权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实有效存在E 通过电话、邮政信函或类似方法确认
35、该机构资料信息的真实性z设备设备可信级 证书申请递交人得到了证书申请者的明确授权E 确认证书主体是由证书申请者全权控制,检查由第三方提供的、该机构拥有对设备标识信息的控制权的证明,如s域名管理机构提供的域名注册记录,网络服务提供商提供的IP地址使用合同z 使用技术子段,确认证书申请者对设备具有全权控制能力; 设备通过了第三方权威机构的安全检测公众服务非实名级不允许机构申请该策略证书 利用政府机构发放的合法性文件(如z工商营业执照、组织机构代码证) 公众服务证明该机构的法人身份确实有效存在;公众服务实名级 通过电话、邮政信函或类似方法确认该机构资料信息的真实性z 确认证书申请递交人得到了证书申请
36、者的书面授权; 确认证书主体是由证书申请者全权控制一-一一一7.2.3 自然人身份的鉴别当证书申请者是自然人的时候,本标准中证书策略要求电子认证服务机构至少应对其身份进行如表8中所要求的鉴别。表8证书策略对自然人身份鉴别的要求类别级别自然人订户的鉴别- 利用政府机关发放的合法性文件(如g居民身份证权威第三方提供的身份证明或数据库服务,证明自然人的身份z基线基线 通过电话、邮政信函或类似方法确认个人信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权z 确认证书主体是由证书申请者全权控制 利用政府机关发放的合法性文件(如z居民身份证、权威第三方提供的身份证明或数
37、据库服务,证明自然人的身份z商业交易普通级 通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权; 检查合法第三方提供的工作证明商业交易 利用政府机关发放的合法性文件(如2居民身份证)、权威第三方提供的身份证明或数据库服务,证明自然人的身份z 通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实商业交易中级性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权z 检查合法第三方提供的工作证明s 检查银行的资信证明.1年内无不良信用记录10 GB/T 31508-2015 表8(
38、续)类别级别自然人订户的鉴别 利用政府机关发放的合法性文件(如2居民身份证证明自然人的身份,并利用第三方的数据库或致电第三方检查证书申请者身份的真伪F 通过电话、邮政信函或与此类似的其他方式确认该个人身份信息的真实商业交易商业交易高级性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权z 检查银行的资信证明,3年内无不良信用记录z 确保证书申请者拥有40万以上的资产或等间的支付能力设备普通级检查由第三方提供的、该个人订户对设备控制权的证明,如s域名管理机构提供的域名注册记录,网络服务提供商提供的IP地址使用合同设备 检查由第三方提供的,该个人订户拥有对设备的控制权的证明
39、,如=域名设备可信级管理机构提供的域名注册记录,网络服务提供商提供的IP地址使用合同; 应使用安全检查工具,检查该设备的安全状况 利用政府机关发放的合法性文件(如z居民身份证)、权威第三方提供的身公众服务非实名级份证明或数据库服务,证明自然人的身份z 确认至少两种可达的联系方式,如z电话、邮政信函、电子邮件等公众服务 利用政府机关发放的合法性文件(如2居民身份证、权威第三方提供的身公众服务实名级份证明或数据库服务,证明自然人的身份z 确认至少两种可达的联系方式,如2电话、邮政信函、电子邮件等7.2.4 未验证的订户信息未验证的订户信息不应包含在证书中。7.2.5 极力确认当一个自然人的名称与一
40、个机构名称相关联,可以合法代表机构行使职权时,电子认证服务机构应进行机构的身份鉴别和自然人的身份鉴别并确认该自然人具有这样的授权。7.2.6 互操作规范根据GBjT29241-2012,本标准对签发不同证书策略的电子认证服务机构互操作能力的要求,如表9所示。表9证书策略中互操作规范的要求类别级别互操作等级基线基线一级商业交易普通级二级商业交易商业交易中级二级商业交易高级三级11 GB/T 31508-2015 表9(续)类别级别互操作等级设备普通级二级设备设备可信级三级公众服务非实名级二级公众服务公众服务实名级二级J -L_ 7.3 密钥更新请求的身份鉴别7.3.1 常规密钥更新请求的身份鉴别
41、订户在证书有效期内、且证书未被撤销的情况下提出密钥更新请求,视为常规密钥更新请求。在常规密钥更新时,电子认证服务机构应对订户进行身份鉴别,鉴别的方法可以采用质询短语或者私钥签名的方式。质询短语是订户在申请证书时留下的用于身份鉴别的短语。利用质询短语进行鉴别时,订户应正确提供该短语的内容,并能正确提供部分其他登记信息。若采用私钥签名的方式进行鉴别,订户应使用现有私钥对更新请求进行签名,更新请求中应包含正确的部分登记信息。电子认证服务机构应对订户的签名和更新请求内包含的订户信息进行验证。订户也可以选择初始证书申请流程进行常规密钥更新,按照要求提交证书申请所需的材料。对商业交易普通级、商业交易中级、
42、商业交易高级、设备普通级、设备可信级、公众服务非实名级和公众服务实名级策略的证书连续地进行三次常规密钥更新后,应按照初始证书申请流程获得新证书。7.3.2 证书撤销后密钥更新请求的身份鉴别订户在证书撤销后申请密钥更新时,应按照初始证书申请流程重新申请。7.4 证书撤销请求的身份鉴别电子认证服务机构应在订户协议中写明对证书撤销请求的鉴别方法。证书撤销申请人应满足下列条件之-: 提供申请证书时留下的质询短语,或者具有同等安全程度的方式3 使用拟被撤销的证书对应的私钥对撤销请求进行签名s 电子认证服务机构通过电话、传真、邮政信函或其他方式确认申请撤销的人确实是订户。司法机关依法提出证书撤销,电子认证
43、服务机构将直接以司法机关书面撤销请求文件作为依据,不再进行其他方式的鉴别。8 证书生命周期操作要求8.1 证书申请8.1.1 证书申请递交人下列人员可以递交证书申请z 能够独立承担民事责任的自然人或其授权代表3 独立法人机构的授权代表。GB/T 31508-2015 8.1.2 登记过程和责任证书申请者在申请满足本标准中证书策略要求的证书时,应明确表示同意订户协议中的内容,并提供真实的信息,生成或委托电子认证服务机构为自己生成公私钥对。如果公私钥对由证书申请者自己生成,还应向电子认证服务机构提供相应的公钥,并证明其拥有公钥对应的私钥。8.2 证书申请的处理8.2.1 执行身份鉴别电子认证服务机
44、构应根据7.2的要求,对证书申请者及证书主体进行身份鉴别。8.2.2 接受或拒绝证书申请如果满足下列条件,电子认证服务机构将接受证书申请2 根据7.2的要求,成功地完成了证书申请的身份鉴别5 收到或确认能收到证书申请者应缴纳的费用。如果发生下列情形之一,电子认证服务机构应拒绝证书申请1 不能完成证书申请的身份鉴别过程s 证书申请者不能提供电子认证服务机构应的补充文件或没有在指定的时间内响应电子认证服务机构的通知3 未收到或确认无法收到证书申请者应缴纳的费用z 电子认证服务机构认为批准该申请将会导致电子认证服务机构陷入法律纠纷,8.2.3 处理证书申请的时限收到证书申请后,电子认证服务机构应当在
45、合理的时限内开始处理证书申请。电子认证服务机构应在电子认证业务规则中对证书申请处理所需的时间给出明确规定,并按照规定操作。本标准中证书策略对证书申请处理时限的要求,如表10所示。表10证书策略对处理证书申请时限的要求类别级别处理证书申请的期限基线基线不作规定商业交易普通级不作规定商业交易商业交易中级10个工作日内-一一一商业交易高级10个工作日内设备普通级10个工作日内设备设备可信级10个工作日内一一一一公众服务非实名级10个工作日内公众服务公众服务实名级10个工作日内一一一一一一8.3 证书签发8.3.1 证书签发期间电子认证服务机构的行为证书的产生和签发应在证书申请审核通过之后进行。电子认
46、证服务机构产生和签发的证书中的内GB/T 31508-2015 容应来源于被审核通过的证书申请。8.3.2 订户证书签发的通知电子认证服务机构签发证书后,应及时通知证书申请者,并向证书申请者提供获得证书的方式,确保证书申请者能够通过公众易于获得的方式获得证书。8.4 证书接受8.4.1 证书接受行为证书申请者按照订户协议中规定的方式确认已经接受证书,或者证书申请者在收到电子认证服务机构的证书签发通知后的规定时限内未对证书或证书内容提出合理的异议,则视为证书申请者已经接受证书。8.4.2 电子认证服务机构发布证书电子认证服务机构应将订户已经接受的证书发布到允许公众访问的证书资料库中。8.5 密钥对和证书的使用8.5.1 订户私钥和证书的使用订户应在签订了订户协议并接受证书后才能使用证书对应的私钥。订户私钥的使用应符合证书中密钥用途(KeyUsage)扩展的要求。订户的私钥和证书的使用应符合订户协
