信息安全技术公钥基础设施数字证书策略分类分级规范

信息安全技术公钥基础设施数字证书策略分类分级规范

国家标准 GB/T31508一2015 信息安全技术公钥基础设施 数字证书策略分类分级规范 nformationseeurityteehnmiques一Putlickeyinfrastructure Digitaleertifieatepolieieselassiieationandgradingspeeifieatiom 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I31508一2015 目 次 前言 引言 范围 规范性引用文件 术语和定义 缩略语 概述 信息发布和证书资料库责任 身份标识与鉴别 证书生命周期操作要求 设施、管理和运作控制 20 技术安全控制 l0 31 11证书,证书撤销列表和在线证书状态协议 45 合规性审计和相关评估 12 43
GB/T31508一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位:科学院数据与通信保护研究教育中心,北京数字证书认证中心有限公司、中 国科学院软件所 本标准主要起草人;荆继武,高能、林骤锵,王展、马存庆、向继、王跃武、夏鲁宁、查达仁,王平建、 王琼霄、詹榜华,连一峰 m
GB/I31508一2015 引 言 使用电子认证服务进行电子交易的实体主要关心两个问题;一是交易对象的合法公钥是什么;二是 交易对象的数字证书的安全性能否用于本交易 为了体现第二方面的信息,数字证书中包含了一个由 电子认证服务机构提供的证书策略标识,它表明了证书持有者(公钥所对应的用户)的安全属性 数字 证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度,以便正确使用或依赖该证书 如;仅用于测试的,或者仅用于访问网络,或者可用于金融交易并有10万元担保) 因此证书策略的 实施是数字证书实际应用中不可缺少的一部分,也是提供分层次可靠的电子认证服务的基础之 目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书中没有说明公 钥可以应用在什么场景,适用于什么样的安全需求 这导致了证书的使用者对于证书的用途十分茫然 限制了数字证书的广泛应用 另外,由于缺乏数字证书使用范围或质量的标准,各电子认证服务机构证 书签发的安全措施如:证书签发过程中的身份鉴别、物理设备安全、责任和赔付等)也存在较大差距 这种不一致导致了证书依赖方的许多困惑,阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接 获得证书的安全信息,对证书进行自动地验证 而标准化的证书策略能够使用户清晰地认识到证书的 质量和安全通途,方便应用系统的开发设计 因此,对证书策略进行规范和标准化,是推进电子商务、电 子政务系统之间互联互通的重要 步 通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市场规划出分级 的,多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进电子认证服务机构之间的 良性竟争,提升服务质量,推动电子认证服务市场的有序发展 另外,随着证书策略的分级分类逐步的 实施,也可以促进电子认证服务机构评估和许可工作的规范化,即审查电子认证服务机构是否真正地按 照其证书策略要求的规范来运营,是否提供相应的安全保障,这也是构建证书策略分级分类体系的重要 意义
GB/I31508一2015 信息安全技术公钥基础设施 数字证书策略分类分级规范 范围 本标准通过分类分级的方式,规范了用于商业交易、设备和公众服务领域的电子认证服务中的8种 数字证书策略 本标准适用于我国电子商务和公众服务中所涉及的数字证书 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20518一2006信息安全技术公钥基础设施数字证书格式 GB/T26855一2011信息安全技术公钥基础设施证书策略与认证业务声明框架 GB/T29241一2012信息安全技术公钥基础设施PK1互操作性评估准则 术语和定义 下列术语和定义适用于本文件 3.1 证书签发机构eerifieatioauthority 负责签发证书和维护证书状态的实体 3.2 订户注册机构registrationauthority 负责订户的标识和鉴别,批准或拒绝订户的证书申请,撤销申请和挂起申请,发起证书的撤销和挂 起的实体 3.3 电子认证服务机构certificationserviceproider 依据《电子签名法》和《电子认证服务管理办法》获得《电子认证服务许可证》向公众提供电子认证业 务的机构,一般包含有证书签发机构和订户注册机构 3.4 订户subscribher 与电子认证服务机构签订协议,接受电子认证服务机构提供的服务的实体 订户应能对证书对应 的私钥的使用负有法律责任 3.5 依赖方relyinparty 接受电子认证服务机构的依赖方协议,独立地判断证书的安全性是否满足其应用的安全需求,并验 证证书和相应签名的实体
GB/I31508一2015 3.6 证书主体subjeet 证书中的“主体(subjeet)”项指明的、持有与证书中载明公钥相对应之私钥的实体 注证书主体可以是订户自己,也可以是订户全权控制的设备、账号,域名,IP地址等 当订户是法人机构时,证书 主体还可以是该法人机构的下属机构,下属职员、签约人和设备邻 ppleant 证书申请者eertifieate ;aPp 向电子认证服务机构申请证书的自然人或法人 注;证书申请成功后,证书申请者即为订户 3.8 证书申请递交人eertiriceateappliteautondelierer 向电子认证服务机构递交证书申请的自然人,可以是订户或者订户的合法代表 3.9 会话密钥sessionkey 次会话中有效的对消息进行加密的密钥 在 3.10 0cSP服务0cCSPserviee 在线的证书状态查询服务,该服务的主要对象是依赖方 3.11 可辨识名distinguishedname 用于标识证书颁发机构和证书主体名称的序列,一般包括国家名称、省名、地理位置、机构名、机构 单元名称和正式名称 3.12 带外方式otafband 指当前的通信方式之外的方式,如电子认证服务机构以网络方式提供证书申请与查询等服务,带外 通讯方式包括但不限于报纸、电视、纸质文件、电话传真等 3.13 激活数据activationdata 用于使密码模块进人可操作状态的数据,可以是口令,生物特征等 3.14 依赖方协议relyingpartyagreement 电子认证服务机构在《电子认证业务规则》中或单独载明的与依赖方之间的协议,规定双方在证书 使用和管理过程中所承担的责任和义务 3.15 订户协议subseriberagreement 电子认证服务机构与订户所签署的协议,规定了双方在证书使用和管理过程中所承担的责任和 义务 3.16 证书信任链certifricatechain -个用于证书验证的有序证书序列,它包含一个终端订户证书和若干电子认证服务机构证书,证书 信任链起始于根证书,终止于终端订户证书 3.17 certificaterevocationlist 证书撤销列表 由电子认证服务机构维护的,包含由于各种原因例如:私钥泄露、证书中的信息发生改变)在有效
GB/I31508一2015 期内被撤销的证书的列表 3.18 对象标识符objectidentifier 串分段的数字,可以唯一地标识一个对象(例如;密码算法,证书策略等 3.19 公钥基础设施plicke infrastructure key 套由硬件、软件、人员、策略和流程构成的,用于生成、管理、分发、使用存储和撤销数字证书的， 利用公钥技术提供安全服务的基础设施 3.20 证书策略certificate poliesy 指定的一组规则,表明了证书在某特定范围内的、和(或)某些具有相同安全需求的应用内的适用 程度 3.21 电子认证业务规则eertifeatepretieestatement 又称为认证业务声明,是电子认证服务机构对其签发、管理、撤销和更新证书的相关措施和实施行 为的一份声明 3.22 密码模块eyptweraphiemdule 经国家密码管理部门批准使用的密码产品或密码系统,是指具有安全边界的用于进行密码相关的 存储和计算操作的软件、固件或硬件组合 缩略语 下列缩略语适用于本文件 CA;证书签发机构(CertificateAuthority) CRL;证书撒销列表(CertificateRevocationList) DN;可辨识名(DistinguishedName IP;互联网协议(InternetProtocol LDAP:轻量级目录访问协议(Light-weightDirectoryAccessProtocol OCSsP;在线证书状态协议(OnlineCerifieateStatusProtocol OD;对象标识符(ObjeetIdentifer) PK1;公钥基础设施(PublicKeyInfrastructure) URL;统一资源定位符(UniversalResourceL.ocator) 5 概述 电子认证服务机构可以根据需要签发符合一个或多个证书策略的证书 将本标准中的任何一个或 多个证书策略包含在证书中,都应得到电子认证服务管理部门的许可 电子认证服务机构制定的《电子 认证业务规则》,原则上不应与本证书策略内容冲突 电子认证服务机构无法执行本证书策略中某些条 款具体要求的,应向电子认证服务管理部门提出申请,，经电子认证服务管理部门审核后方可使用该《电 子认证业务规则》. 电子认证活动的参与方包括电子认证服务机构、订户、依赖方以及其他参与者 本标准为数字证书 签发和使用提供指导,为电子认证活动各参与方明确各自的权利和义务提供依据 本标准中证书策略
GB/I31508一2015 的适用对象包括: 电子认证服务机构:签发符合一个或多个策略要求的证书的电子认证服务机构,应按照本标准 中证书策略的要求制定《电子认证业务规则》,并按照其《电子认证业务规则》运营; 订户;认定本标准中证书策略的规定可以满足其应用需求的订户,应当了解本标准中证书策略 规定的订户权利和义务以及电子认证服务机构对其提供的保障 依赖方:依赖方应依据本标准中证书策略的条款,确定在多大程度上信任符合本标准中证书策 略的证书及其对应的电子签名 当依赖方使用符合某个证书策略的证书时,说明其已经了解 相应证书策略内容并已确认该证书策略满足其安全需求 本标准中证书策略符合GB/T26855一2011的要求,各个证书策略的名称和对应OID如表1所示 表1证书策略名称和OID oID 类别 级别 基线 基线 待申请 商业交易普通级 待申请 商业交易 商业交易中级 待申请 商业交易高级 待申请 设备普通级 待申请 设备 设备可信级 待申请 待申请 公众服务非实名级 公众服务 公众服务实名级 待申请 电子认证服务机构可根据应用的需要,将本标准中证书策略的OID包含在证书中 基线证书策略可 应用于商业交易,设备和公众服务;商业交易普通级、商业交易中级和商业交易高级策略用于商业交易证 书;设备普通级和设备可信级策略用于签发给设备的证书;公众服务非实名级和公众服务实名级策略用于 提供和获取公共服务的证书 基线证书策略是进行电子认证业务的基本要求,三类证书策略都应该符合 基线证书策略的要求;在同一类别的证书策略中,高等级的证书策略涵盖低等级证书策略的要求 本标准中证书策略支持的应用如表2所示 表2证书策略支持的应用 类别 级别 支持的证书应用 网络环境下的身份鉴别、网络安全登录、信息保护和通信密钥协商等基本应 基线 基线 用以及当事人约定的其他应用 身份鉴别,网络安全登录,信息保护和通信密钥协商等基本应用,小额度交易 商业交易普通级 以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的 商业交易普通级证书策略支持的交易额度 身份鉴别,网络安全登录,信息保护和通信密钥协商等基本应用,中等额度交 商业交易 商业交易中级 易以及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定 的商业交易中级证书策略支持的交易额度 身份鉴别网络安全登录.信息保护和通信密钥协商等基本应用,大额交易以 及当事人约定的其他应用,其额度不超过电子认证服务管理部门所规定的商 商业交易高级 业交易高级证书策略支持的交易额度
GB/T31508一2015 表2(续 级别 类别 支持的证书应用 设备普通级 具有一般安全性要求的设备,如;安全邮件服务器,web服务器等 设备 安全性要求较高的设备,如:支持在线电子支付,大规模用户管理等敏感应用 设备可信级 的服务器 需要匿名性的公众服务,如;电子投票 网络安全登录、信息保护和通信密钥 公众服务非实名级 协商等基本应用以及当事人约定的其他应用 公众服务 需要实名性的公众服务,如电子报税 网络安全登录,信息保护和通信密钥 公众服务实名级 协商等基本应用以及当事人约定的其他应用 签署需要承担法律责任但无 经济责任的文 书 符合本标准中证书策略的证书还可以用于其他用途,条件;依赖方根据自己的评估,有充分的理由 信任该证书并确保该证书的使用不违反相关法律 订户或信赖方如果对电子认证服务机构有特殊要 求,可以通过相关协议进行约定 本标准中证书策略不支持的应用如表3所示 表3证书策略不支持的应用 类别 级别 不支持的证书应用 基线 基线 在违背相关法律法规规定的情况下使用 在违背相关法律法规规定的情况下使用 商业交易普通级 用于超过电子认证服务管理部门所规定的商业交易普通级证书策略支持 的交易额度的交易 在违背相关法律法规规定的情况下使用 商业交易 商业交易中级 用于超过电子认证服务管理部门所规定的商业交易中级证书策略支持的 交易额度的交易 在违背相关法律法规规定的情况下使用 商业交易高级 用于超过电子认证服务管理部门所规定的商业交易高级证书策略支持的 交易额度的交易 在违背相关法律法规规定的情况下使用 设备普通级 用于支撑金融交易等安全性敏感应用的设备 设备以外的应用 设备 在违背相关法律法规规定的情况下使用 设备可信级 用于设备以外的应用 在违背相关法律法规规定的情况下使用 公众服务非实名级 用于商业交易、需要实名性的公众服务 公众服务 在违背相关法律法规规定的情况下使用 公众服务实名级 用于商业交易 仅符合本标准中证书策略要求的证书不适用于可能直接导致人员伤亡或者严重破坏环境的应用系 统,例如;核设备的操作系统、航天器的导航或通信系统、航空管制系统或者武器控制系统等 在本标准 中,未指明适用于特定策略的条款,适用于所有8种证书策略
GB/I31508一2015 信息发布和证书资料库责任 6.1 证书资料库 电子认证服务机构应建立一个允许公众访问的在线资料库或者使用允许公众访问的在线第三方资 料库,并将其签发的证书以及证书状态信息发布到该资料库上 6.2证书信息的发布 电子认证服务机构应将所签发的符合本标准中证书策略的证书及其状态信息发布到资料库上,同 时还应发布以下文档的最新版本,允许订户或依赖方进行在线查询 证书策略文档 《电子认证业务规则》; 订户协议; 依赖方协议 6.3发布信息的时间或频率 电子认证服务机构的相关信息应在生效后及时发布 本标准中证书策略和对应的电子认证业务规则的空更,应在审枝通过之日起10天内发布 电子认证机构应保证在吊销列表的下次更新时间之前更新吊销列表 对于终端订户的证书撤销列 表,应至少每24h签发一次,其中对于商业交易高级,设备可信级证书撤销列表,应至少每12h签发一次 电子认证服务机构证书的证书撤销列表应至少每年签发一次 当电子认证服务机构的证书需要撤 销时签发证书撤销列表 6.4证书资料库的访问控制 电子认证服务机构不应使用技术手段来限制公众对以下信息的读取访问:证书策略、《电子认证业 务规则》,证书和证书状态信息以及公开的订户协议和依赖方协议 电子认证服务机构应执行控制措施来阻止对资料库的信息进行未经授权的添加、删除或修改 本 标准中证书策略对于资料库访问控制的要求,如表4所示 表4证书策略对资料库访问控制的要求 类别 级别 资料库的访问控制要求 应执行访问控制措施来阻止对资料库的信息进行未经授权的添加、删除或 基线 基线 修改 应执行访问控制措施来阻止对资料库的信息进行未经授权的添加,删除或 商业交易普通级 修改 应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的 商业交易 商业交易中级 添加、删除或修改 应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库 商业交易高级 信息进行未经授权的添加、删除或修改 应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的 设备普通级 添加、删除或修改 设备 应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库 设备可信级 信息进行未经授权的漆加、别除或修改
GB/T31508一2015 表4(续 类别 级别 资料库的访问控制要求 应采用访问控制和逻辑端口分割技术来阻止对资料库信息进行未经授权的 公众服务非实名级 添加、制除或修改 公众服务 应采用访问控制和物理端口分割技术及通信加密保护技术来阻止对资料库 公众服务实名级 信息进行未经授权的舔加、剔除或修改 身份标识与鉴别 7.1 命名 7.1.1名称类型 根据本标准中证书策略签发的证书应包含签发该证书的电子认证服务机构名称和证书主体的名 称 出现在证书中“颁发者(issuer)”项的电子认证服务机构名称和出现在“主体”项的主体名称应采用 GB/T20518一2006中的可辨识名(DN) 主体的唯一可辨识名中应含有订户的名称信息 证书中出现的电子认证服务机构的名称,包括英文缩写名称,应使用电子认证服务管理部门批准的 名称 7.1.2名称意义化的要求 证书中出现的证书主体名称应有实际意义 本标准中证书策略对主体名称意义的要求,如表5 所示 表5证书策略的名称意义化要求 类别 级别 主体名称要求 主体名称应有实际意义,包括;合法的机构名称,个人姓名,电子邮件地址,用 基线 基线 户账号和电话号码等可以用于识别主体身份的名称 主体名称应具有实际意义,例如;合法的机构名称或个人姓名、机构注册地址 商业交易普通级 或个人家庭住址,电子邮件地址、电话号码等 主体名称应具有实际意义,例如;合法的机构名称或个人姓名,机构注册地址 商业交易 商业交易中级 或个人家庭住址,电子邮件地址、电话号码等 主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保 商业交易高级 联系到该主体 设备普通级 主体名称应包含网络上可标识该设备的名称,如;合法域名或IP地址 设备 主体名称应包含订户的名称以及网络上可标识该设备的名称,如:合法域名 设备可信级 或P地址 公众服务非实名级主体名称可以为假名,但应在证书签发机构中保存有对应的真实身份信息 公众服务 主体名称应包含订户的地址、真实名称和其他辅助信息,这些信息可以确保 公众服务实名级 联系到该主体
GB/I31508一2015 7.1.3订户的匿名或假名 订户在证书中的名称可以是假名,但是电子认证服务机构应根据7.2的要求记录订户真实身份信 息 本标准中证书策略对订户匿名或假名的要求,如表6所示 表6证书策略对订户的匿名或假名的要求 类别 订户假名的要求 级别 主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要 基线 基线 求记录订户真实身份信息 主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要 商业交易普通级 求记录订户真实身份信息 商业交易 主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要 商业交易中级 求记录订户真实身份信息 商业交易高级 主体名称应为户口簿或身份证载明的正式名称,不允许是假名 主体名称可以是假名,但是在电子认证服务机构的数据库中,应根据7.2的要 设备普通级 求记录订户真实身份信息 设备 主体名称应包含设备所有者在户口簿、身份证或组织机构代码证载明的正式 设备可信级 名称,不允许是假名 主体名称可以为假名,但是在电子认证服务机构的数据库中,应根据7.2的要 公众服务非实名级 求记录订户真实身份信息 公众服务 公众服务实名级 主体名称应为户口簿或身份证载明的正式名称,不允许是假名 订户在证书中的名称不允许匿名 7.1.4不同名称格式的解释规则 商业交易高级、公众服务实名级的证书主体的机构名称或个人姓名应填写在cn域 其他证书策略中对于不同名称格式的解释规则不作规定 7.1.5名称的唯一性 电子认证服务机构不应将主体名称相同的证书签发给不同的订户 电子认证服务机构应有统一的 控制策略,保证每个证书主体拥有唯一的可辨识名 同一个订户可能拥有多个相同主体名称的证书 7.1.6商标的识别,鉴别和角色 证书申请中包含侵犯第三方知识产权的域名、商标,商号或服务标识的,订户应承担相应侵权责任 电子认证服务机构不对产权证明材料进行审查 出现产权争端时,电子认证服务机构有权拒绝或挂起 引起争端的订户的证书申请 7.2初始申请证书的身份鉴别 7.2.1证明拥有私钥的方法 证书申请者应证明持有与所要注册公钥相对应的私钥,证明的方法包括在证书请求消息中包含数 字签名或其他与此相当的证明方法 对商业交易高级,设备可信级证书的申请,应该采用挑战响应的方 法证明申请者拥有对应的私钥
GB/T31508一2015 如果密钥对是电子认证服务机构为订户生成的,或者是由电子认证服务机构向其他第三方权威机 构申请获得的,则不需要进行上述证明,但应测试密钥对的正确性 7.2.2机构身份的鉴别 当证书申请者是机构时,本标准中证书策略要求电子认证服务机构至少应对机构身份进行如表7 中所要求的鉴别 表7证书策略中机构身份鉴别的要求 类别 级别 机构订户的鉴别 利用政府机构发放的合法性文件(如;工商营业执照、组织机构代码证 权贼第三方提供的身份证明或数据库服务,证明该机构的法人身份确实 有效存在; 基线 基线 通过电话、邮政信雨或类似方法确认该机构资料信息的真实性; 确认证书申请递交人得到了证书申请者的明确授权; 确认证书主体是由证书申请者全权控制,即证书申请者应表明其对该实 体的控制能力 利用政府机构发放的合法性文件(如;工商营业执照、组织机构代码证) 权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实 有效存在; 商业交易普通级 通过电话、邮政信函或类似方法确认该机构资料信息的真实性 确认证书申请递交人得到了证书申请者的明确授权 确认证书主体是由证书申请者全权控制 利用政府机构发放的合法性文件如;工商营业执照、组织机构代码证 权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实 有效存在; 商业交易中级 通过电话、邮政信函或类似方法确认该机构资料信息的真实性 商业交易 确认证书申请递交人得到了证书申请者的明确授权 确认证书主体是由证书申请者全权控制; 应检查机构订户的银行资信证明,1年内无不良信用记录 应检查由政府主管部门提供的机构合法性文件(如工商营业执照、组织 机构代码证)7 通过实地考察,核实机构资料和信息的真实性 商业交易高级 应检查机构的授权代表所持有的书面授权书 确认证书主体是由证书申请者全权控制; 应检查机构订户的银行资信证明,3年内无不良信用记录; 注册资本不低于100万,或年营业额高于500万 利用政府机构发放的合法性文件(如:工商营业执照、组织机构代码证、 权威第三方提供的身份证明或数据库服务,证明该机构的法人身份确实 有效存在; 通过电话、邮政信丽或类似方法确认该机构资料信息的真实性; 设备 设备普通级 证书申请递交人得到了证书申请者的明确授权 确认证书主体是由证书申请者全权控制,检查由第三方提供的、该机构拥 有对设备标识信息的控制权的证明,如;域名管理机构提供的域名注册记 录,网络服务提供商提供的IP地址使用合同
GB/I31508一2015 表7(续 类别 机构订户的鉴别 级别 利用政府机构发放的合法性文件如:工商营业执照、组织机构代码证)、 权贼第三方提供的身份证明或数据库服务,证明该机构的法人身份确实 有效存在; 通过电话,邮政信函或类似方法确认该机构资料信息的真实性; 证书申请递交人得到了证书申请者的明确授权; 设备 设备可信级 确认证书主体是由证书申请者全权控制,检查由第三方提供的,该机构拥 有对设备标识信息的控制权的证明,如;域名管理机构提供的域名注册记 录,网络服务提供商提供的IP地址使用合同; 申请者对设备具有全权控制能力 使用技术手段,确认证书！ 设备通过了第三方权威机构的安全检测 公众服务非实名级不允许机构申请该策略证书 利用政府机构发放的合法性文件(如工商营业执照、组织机构代码证). 证明该机构的法人身份确实有效存在; 公众服务 公众服务实名级 通过电话,邮政信函或类似方法确认该机构资料信息的真实性; 确认证书申请递交人得到了证书申请者的书面授权; 确认证书主体是由证书申请者全权控制 7.2.3自然人身份的鉴别 当证书申请者是自然人的时候,本标准中证书策略要求电子认证服务机构至少应对其身份进行如 表8中所要求的鉴别 表8证书策略对自然人身份鉴别的要求 类别 级别 自然人订户的鉴别 利用政府机关发放的合法性文件(如居民身份证、权威第三方提供的身 份证明或数据库服务,证明自然人的身份; 基线 基线 通过电话、邮政信函或类似方法确认个人信息的真实性以及代表进行证 书申请的个人就是证书申请者本人或是得到了证书申请者的明确授权 确认证书主体是由证书申请者全权控制 利用政府机关发放 改的合法性文件(如居民身份证)、权威第三方提供的身 份证明或数据库服务,证明自然人的身份; 通过电话,邮政信函或与此类似的其他方式确认该个人身份信息的真实 商业交易普通级 性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书电 请者的明确授权; 检查合法第三方提供的工作证明 商业交易 利用政府机关发放的合法性文件(如;居民身份证)权威第三方提供的身 份证明或数据库服务,证明自然人的身份; 通过电话,邮政信函或与此类似的其他方式确认该个人身份信息的真实 性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申 商业交易中级 请者的明确授权; 检查合法第三方提供的工作证明 检查银行的资信证明,1年内无不良信用记录 1o
GB/T31508一2015 表8(续 类别 自然人订户的鉴别 级别 利用政府机关发放的合法性文件(如;居民身份证)证明自然人的身份,并 利用第三方的数据库或致电第三方检查证书申请者身份的真伪; 通过电话,邮政信丽或与此类似的其他方式确认该个人身份信息的真实 商业交易 商业交易高级 性以及代表进行证书申请的个人就是证书申请者本人或是得到了证书申 请者的明确授权; 检查银行的资信证明,3年内无不良信用记录; 确保证书申请者拥有40万以上的资产或等同的支付能力 检蠢由第三万提供的,该个人订户对设备控制权的证明,M以名管理机构挺 设备普通级 供的域名注册记录,网络服务提供商提供的IP地址使用合同 检查由第三方提供的,该个人订户拥有对设备的控制权的证明,如;域名 设备 管理机构提供的域名注册记录,网络服务提供商提供的P地址使用 设备可信级 合同; 应使用安全检查工具,检查该设备的安全状况 利用政府机关发放的合法性文件(如;居民身份证)权威第三方提供的身 公众服务非实名级 份证明或数据库服务,证明自然人的身份 确认至少两种可达的联系方式,如;电话,邮政信丽,电子邮件等 公众服务 利用政府机关发放的合法性文件(如:居民身份证、权威第三方提供的身 公众服务实名级 份证明或数据库服务,证明自然人的身份 确认至少两种可达的联系方式,如;电话、邮政信丽,电子邮件等 7.2.4未验证的订户信息 未验证的订户信息不应包含在证书中 7.2.5权力确认 当 一个自然人的名称与一个机构名称相关联,可以合法代表机构行使职权时,电子认证服务机构应 进行机构的身份鉴别和自然人的身份鉴别并确认该自然人具有这样的授权. 7.2.6互操作规范 根据GB/T29241一2012,本标准对签发不同证书策略的电子认证服务机构互操作能力的要求,如 表9所示 表9证书策略中互操作规范的要求 互操作等级 类别 级别 基线 基线 -级 商业交易普通级 二级 商业交易中级 商业交易 二级 商业交易高级 三级
GB/I31508一2015 表9(续 互操作等级 类别 级别 设备普通级 二级 设备 设备可信级 三级 公众服务非实名级 二级 公众服务 二级 公众服务实名级 7.3密钥更新请求的身份鉴别 7.3.1常规密钥更新请求的身份鉴别 订户在证书有效期内、且证书未被撤销的情况下提出密钥更新请求,视为常规密钥更新请求 在常 规密钥更新时,电子认证服务机构应对订户进行身份鉴别,鉴别的方法可以采用质询短语或者私钥签名 的方式 质询短语是订户在申请证书时留下的用于身份鉴别的短语 利用质询短语进行鉴别时,订户" 应正确提供该短语的内容,并能正确提供部分其他登记信息 若采用私钥签名的方式进行鉴别,订户应 使用现有私钥对更新请求进行签名,更新请求中应包含正确的部分登记信息 电子认证服务机构应对 订户的签名和更新请求内包含的订户信息进行验证 订户也可以选择初始证书申请流程进行常规密钥更新,按照要求提交证书申请所需的材料 对商业交易普通级、商业交易中级、商业交易高级,设备普通级、设备可信级、公众服务非实名级和 公众服务实名级策略的证书连续地进行三次常规密钥更新后,应按照初始证书申请流程获得新证书 7.3.2证书撤销后密钥更新请求的身份鉴别 订户在证书撤销后申请密钥更新时,应按照初始证书申请流程重新申请 7.4证书撤销请求的身份鉴别 电子认证服务机构应在订户协议中写明对证书撤销请求的鉴别方法 证书撤销申请人应满足下列 条件之 提供申请证书时留下的质询短语,或者具有同等安全程度的方式 使用拟被撤销的证书对应的私钥对撤销请求进行签名 电子认证服务机构通过电话、传真、,邮政信函或其他方式确认申请撤销的人确实是订户 司法机关依法提出证书撤销,电子认证服务机构将直接以司法机关书面撤销请求文件作为依据,不 再进行其他方式的鉴别 证书生命周期操作要求 8.1证书申请 8.1.1证书申请递交人 下列人员可以递交证书申请 能够独立承担民事责任的自然人或其授权代表 独立法人机构的授权代表 12
GB/T31508一2015 8.1.2登记过程和责任 证书申请者在申请满足本标准中证书策略要求的证书时,应明确表示同意订户协议中的内容,并提 供真实的信息,生成或委托电子认证服务机构为自己生成公私钥对 如果公私钥对由证书申请者自己 生成,还应向电子认证服务机构提供相应的公钥,并证明其拥有公钥对应的私钥 8.2证书申请的处理 8.2.1执行身份鉴别 电子认证服务机构应根据7.2的要求,对证书申请者及证书主体进行身份鉴别 8.2.2接受或拒绝证书申请 如果满足下列条件,电子认证服务机构将接受证书申请 根据7.2的要求,成功地完成了证书申请的身份鉴别 收到或确认能收到证书申请者应缴纳的费用 如果发生下列情形之一,电子认证服务机构应拒绝证书申请: 不能完成证书申请的身份鉴别过程 证书申请者不能提供电子认证服务机构应的补充文件或没有在指定的时间内响应电子认证服 务机构的通知 未收到或确认无法收到证书申请者应缴纳的费用 电子认证服务机构认为批准该申请将会导致电子认证服务机构陷人法律纠纷 8.2.3处理证书申请的时限 收到证书申请后,电子认证服务机构应当在合理的时限内开始处理证书申请 电子认证服务机构应在《电子认证业务规则)中对证书申请处理所需的时间给出明确规定,并按照 规定操作 本标准中证书策略对证书申请处理时限的要求,如表10所示 表10证书策略对处理证书申请时限的要求 类别 级别 处理证书申请的期限 基线 基线 不作规定 商业交易普通级 不作规定 商业交易 商业交易中级 0个工作日内 商业交易高级 10个工作日内 设备普通级 10个工作日内 设备 设备可信级 10个工作日内 公众服务非实名级 10个工作日内 公众服务 公众服务实名级 0个工作日内 8.3 证书签发 8.3.1证书签发期间电子认证服务机构的行为 证书的产生和签发应在证书申请审核通过之后进行 电子认证服务机构产生和签发的证书中的内 13
GB/I31508一2015 容应来源于被审核通过的证书申请 8.3.2订户证书签发的通知 电子认证服务机构签发证书后,应及时通知证书申请者,并向证书申请者提供获得证书的方式,确 保证书申请者能够通过公众易于获得的方式获得证书 8.4证书接受 8.4.1证书接受行为 证书申请者按照订户协议中规定的方式确认已经接受证书,或者证书申请者在收到电子认证服务 机构的证书签发通知后的规定时限内未对证书或证书内容提出合理的异议,则视为证书申请者已经接 受证书 8.4.2电子认证服务机构发布证书 电子认证服务机构应将订户已经接受的证书发布到允许公众访问的证书资料库中 8.5密钥对和证书的使用 8.5.1订户私钥和证书的使用 订户应在签订了订户协议并接受证书后才能使用证书对应的私钥 订户私钥的使用应符合证书中 “密钥用途(KeyUsage)”扩展的要求 订户的私钥和证书的使用应符合订户协议的要求 订户应保护其私钥免受未经授权的使用 证书到期或被撤销后,订户应停止使用私钥 8.5.2依赖方对公钥和证书的使用 依赖方信任证书的前提是同意依赖方协议中的条款 依赖方应根据证书使用的环境和条件判断证 书是否可信任 如果依赖方应电子认证服务机构提供额外的保障,依赖方应在确认可以获得这些保障 之后信任相应的证书 在信任证书前,依赖方应独立的进行如下评估: 证书适用于当前应用场景,并确定证书的使用不违背本证书策略的要求; 证书的使用不违背证书中“密钥用途”扩展的规定 证书及其证书信任链中所有电子认证服务机构证书的证书状态是合适的 当证书信任链中的 某个证书有被撤销的情况时,依赖方有责任调查上述证书撤销前,订户证书对应私钥所做的签 名是否可信任,并独立承担相应的风险 依赖方还应利用合适的软件/硬件来执行数字签名验证或其他密码操作 8.6证书更新 8.6.1证书更新的情况 若证书中的公钥和其他订户信息没有发生任何变化,订户可以通过证书更新获得新证书 过期证 书也可以更新 8.6.2证书更新请求人 订户本人或授权代表、机构的授权代表可以请求证书更新 14
GB/T31508一2015 8.6.3证书更新请求的处理 电子认证服务机构对订户证书进行更新前,应确认证书更新请求是证书订户或订户授权代表提出 的,可以通过以下两种方法之一进行鉴别 提供申请证书时留下的质询短语,或者具有同等安全程度的方式,并能正确提供部分其他登记 信息; 使用拟被更新的证书对应的私钥对更新请求进行签名 用于初始证书申请时的鉴别方法也可以用于处理证书更新 8.6.4通知订户新证书签发 证书更新完成后,新证书的签发通知要求同8.3.2 8.6.5接受证书更新的行为 接受证书更新的行为要求同8.4.1 8.6.6电子认证服务机构对更新证书的发布 电子认证服务机构对更新证书的发布要求同8.4.2 证书密钥更换 8.7.1证书密钥更换的情况 当证书到期、密钥发生泄露或者其他应更换密钥的情况发生时,订户可以通过证书密钥更换获得 张包含新公钥、其他订户信息不变的新证书 8.7.2证书密钥更换请求人 订户本人或授权代表、机构的授权代表可以请求证书密钥更换 8.7.3证书密钥更换请求的处理 电子认证服务机构在对订户证书进行密钥更换前,应确认密钥更换请求是被更换证书的订户或订 户授权的代表提出的,可以通过以下两种方法之一进行鉴别: 提供申请证书时留下的质询短语,或者具有同等安全程度的方式,并能正确提供部分其他登记 信息; 使用拟进行密钥更换的证书对应的私钥对密钥更换请求进行签名 初始证书申请的鉴别流程和方法也可以用于处理证书密钥更换 如果订户证书对应的私钥发生泄露,电子认证服务机构应采用初始证书申请的鉴别流程来处理密 钥更换请求 8.7.4订户密钥更换后新证书签发的通知 订户密钥更换后新证书签发的通知要求同8.3.2 8.7.5接受密钥更换后新证书的行为 接受密钥更换后新证书的行为要求同8.4.1 15
GB/I31508一2015 8.7.6电子认证服务机构对密钥更换后的证书发布 电子认证服务机构对密钥更换后的证书发布要求同8.4.2. 8.8证书变更 8.8.1证书变更的情况 当证书中包含的信息(除公钥外)发生变化时订户可以通过证书变更获得新证书 证书变更视为 初始证书申请 8.8.2证书变更请求人 证书变更请求人的要求同8.1.1 8.8.3证书变更请求的处理 电子认证服务机构应对申请证书变更的订户进行身份鉴别,具体要求同7.2 8.8.4订户新证书签发的通知 订户新证书签发的通知要求同8.3.2 8.8.5构成变更证书接受的行为 构成变更证书接受的行为要求同8.4.l1 8.8.6电子认证服务机构对变更证书的发布 电子认证服务机构对变更证书的发布要求同8.4.2 8.9证书撤销与挂起 8.9.1撤销证书的情况 仅当下列情况之一出现时,订户证书才应被撤销并发布在证书撤销列表中;如果订户基于其他情况 申请不再使用该证书,则把证书标记为未激活 订户或电子认证服务机构有理由相信或怀疑订户证书对应的私钥出现了安全问题 有证据表明订户违反了证书策略、相应的《电子认证业务规则》和订户协议中的条款或相关法 律法规 订户协议终止 电子认证服务机构有理由相信证书中或者证书申请中的信息是错误的 8.9.2证书撤销请求人 以下人员可以请求撤销证书 个人证书订户或其授权代表; 机构证书订户的授权代表; 电子认证服务机构的授权代表， 司法机关等公共权力部门的授权代表 8.9.3证书撤销请求的处理流程 电子认证服务机构应根据7.4的要求,对证书撤销请求的身份鉴别 16
GB/T31508一2015 8.9.4撤销请求的宽限期 证书撤销请求应在发现应撤销证书的情形后的合理时间内提出 该宽限时间应当在《电子认证业 务规则》中明确 本标准中证书策略对撤销请求宽限期的时间要求,如表ll所示 表11证书策略对撤销请求宽限期的时间要求 类别 级别 处理撒销请求的时间要求 电子认证服务机构应在《电子认证业务规则》中对证书撤销请求的宽限期做 基线 基线 出明确规定 电子认证服务机构应在《电子认证业务规则》规定;i订户在发现应撤撒销证书 商业交易普通级 时,应在当日内发起证书撤销请求 电子认证服务机构应在《电子认证业务规则》规定:订户在发现应撤销证书 商业交易中级 商业交易 时,应在当日内发起证书撤销请求 电子认证服务机构应在《电子认证业务规则》规定:;订户在发现应撤销证书 商业交易高级 时,应在当日内发起证书撤销请求 电子认证服务机构应在《电子认证业务规则》规定:;订户在发现应撤销证书 设备普通级 时应在当日内发起证书撤销请求 设备 电子认证服务机构应在《电子认证业务规则》规定:订户在发现应撤销证书 设备可信级 时,应在当日内发起证书撤销请求 电子认证服务机构应在《电子认证业务规则》规定;订户在发现应撒销证书 公众服务非实名级 时,应在当日内发起证书撤销请求 公众服务 电子认证服务机构应在《电子认证业务规则》规定;i订户在发现应撤撒销证书 公众服务实名级 时,应在当日内发起证书撤销请求 8.9.5电子认证服务机构处理撤销请求的时间要求 电子认证服务机构应在合理的时间内处理证书撤销请求,并在《电子认证业务规则》中对处理时间 做出明确规定 本标准中证书策略对于处理撤销请求的时间要求,如表12所示 表12证书策略对电子认证服务机构处理撤销请求的时间要求 处理撒销请求的时间要求 类别 级别 电子认证服务机构应在合理的时间内处理证书撤销请求,并在《电子认证业 基线 基线 务规则》中对处理时间做出明确规定 在正常工作时间内收到撤销请求,电子认证服务机构应在该工作日内完 成撤销请求的处理; 商业交易普通级 在正常工作时间以外收到撤销请求,电子认证服务机构应在下一工作日 完成撤销请求的处理 商业交易 在正常工作时间内收到撤销请求,电子认证服务机构应在该工作日内完 成撤销请求的处理; 商业交易中级 在正常工作时间以外收到撤销请求,电子认证服务机构应在下一工作日 完成撤销请求处理 商业交易高级 电子认证服务机构收到撤销请求后应在当天完成撤销请求的处理 17
GB/I31508一2015 表12(续) 类别 处理撒销请求的时间要求 级别 在正常工作时间内收到撤销请求,电子认证服务机构应在该工作日内完 成撤销请求的处理; 设备普通级 在正常工作时间以外收到撤销请求,电子认证服务机构应在下一工作日 设备 完成撤销请求的处理 设备可信级 电子认证服务机构收到撤销请求后应当天完成撤销请求的处理 在正常工作时间内收到撇销请求,电子认证服务机构应在该工作日内完 成撤销请求的处理 公众服务非实名级 在正常工作时间以外收到撒销请求,电子认证服务机构应在下一工作日 完成撤销请求的处理 公众服务 在正常工作时间内收到撇销请求,电子认证服务机构应在该工作日内完 成撤销请求的处理 公众服务实名级 在正常工作时间以外收到撒销请求,电子认证服务机构应在下一工作日 完成撤销请求的处理 8.9.6依赖方进行撤销检查的要求 依赖方在信任证书前,应对证书信任链上所有证书的状态进行检查,获得证书状态的方法包括 查询最新的证书撤销列表 通过web数据库查询证书状态; 通过OCSP方式查询 依赖方还应对上述证书状态信息的有效性进行验证 8.9.7证书撤销列表签发频率 电子认证服务机构应定时签发证书撤销列表,对于电子认证服务机构证书的证书撤销列表,应至少 每年签发一次,或者当电子认证服务机构的证书应撤销时签发证书撤销列表 本标准中证书策略对终 端订户证书的证书撤销列表签发频率的要求如表13所示 表13证书策略对证书撤销列表签发频率的要求 类别 级别 证书撤销列表签发频率要求 基线 基线 至少每24h签发一次 至少每24h签发一次; 当由于密钥泄露或者怀疑被泄露而发生的证书撒销,电子认证服务机构 商业交易普通级 应立即签发撤销列表 至少每24h签发一次 商业交易 商业交易中级 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 应立即签发撤销列表 至少每12h签发一次; 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 商业交易高级 应立即签发撤销列表 18
GB/T31508一2015 表13(续) 类别 证书撤销列表签发频率要求 级别 至少每24h签发一次; 设备普通级 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 应立即签发撤销列表 设备 至少每12h签发一次; 设备可信级 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 应立即签发撤销列表 至少每24h签发一次; 公众服务非实名级 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 应立即签发撤销列表 公众服务 至少每24h签发一次; 公众服务实名级 当由于密钥泄露或者怀疑被泄露而发生的证书撤销,电子认证服务机构 应立即签发撤销列表 8.9.8证书撤销列表发布的最长滞后时间 证书撤销列表生成后,应及时发布到资料库中 8.9.9证书状态在线检查的可用性 撤销信息或其他证书状态信息应通过web数据库,LDAP服务器或者ocs服务在线获得 如果 电子认证服务机构提供LDAP服务、,web网站服务或者ocsP服务,并且允许依赖方进行在线查询,则 电子认证服务机构应向依赖方提供相关的信息,告知依赖方如何访问合适的L.DAP服务、web网站服 务或ocsP服务 本标准中证书策略对证书状态在线检查方式的要求,如表14所示 表14证书策略对证书状态在线检查的可用性的要求 类别 级别 证书状态在线检查的可用性的要求 基线 基线 应通过LDAP服务、Web网站服务或者OCSP服务在线获得 商业交易普通级 至少提供web网站服务和LDAP服务中的任意一种 至少提供web网站服务,LDAP服务和ocsP服务中的任意两种 商业交易 商业交易中级 商业交易高级 提供web网站服务LDAP服务和0csP服务 设备普通级 至少提供web网站服务,LDAP服务和ocSP服务中的任意两种 设备 设备可信级 提供web网站服务LDAP服务和ocSP服务 公众服务非实名级至少提供web网站服务、LDAP服务或者0CSP服务中的任意两种 公众服务 公众服务实名级 至少提供web网站服务、LDAP服务或者0CSP服务中的任意两种 8.9.10证书状态在线检查的要求 依赖方在信任证书前应检查该证书的状态 19
GB/I31508一2015 8.9.11密钥泄露的特殊要求 如果电子认证服务机构发现或有理由相信其私钥泄露,应立即上报电子认证服务管理部门,并尽可 能及时通知所有订户,所有潜在的证书依赖方和其他参与方 8.9.12证书挂起的情况 订户证书的挂起,不作规定 商业交易类、设备类、公众服务类证书策略要求电子认证服务机构证书不应被挂起 8.10证书状态服务 8.10.1执行方法 证书状态可以通过web网站服务、LDAP服务提供的CRL或者OCSP服务在线查询获得 8.10.2服务可用性 证书状态服务应保证7×24不间断可用,不允许安排服务中断时间 8.11订购的终止 订户出现下列情形时意味着该订户的证书订购已经结束: 证书有效期满,并没有进行证书更新、证书变更或密钥更换 证书有效期内证书被撤销,且没有进行证书更新、证书变更或密钥更换 8.12密钥托管和恢复 8.12.1密钥托管和恢复的策略与实施 电子认证服务机构和订户的签名密钥都不应被托管 电子认证服务机构可以为订户的加密密钥提供密钥恢复服务,提供密钥恢复服务的应在其《电子认 证业务规则》中详细描述安全保障措施和服务流程 电子认证服务机构也可以通过第三方权威机构为订户提供加密密钥托管和恢复服务,并在其《电子 认证业务规则》中进行说明 8.12.2会话密钥封装和恢复的策略与实施 如果电子认证服务机构提供会话密钥封装和恢复服务,应在其《电子认证业务规则》中规定具体的 实施流程 设施、管理和运作控制 物理安全控制 9.1.1场所位置和建筑 电子认证服务机构的所有操作应在受到物理保护的环境下进行 所采取的物理保护手段应能够保 护敏感的信息和系统,防止并检测未经电子认证服务机构授权的访问、使用或披露 电子认证服务机构应建立多级的物理安全防护区,并对不同安全级别的区域采取不同安全强度的 物理防护措施 本标准中证书策略对区域分级控制的要求,如表15所示 20
GB/T31508一2015 表15证书策略中场所位置和建筑的要求 类别 级别 区城分级控制 应建立多级的物理安全防护区,并对不同安全级别的区域采取不同安全强度 基线 基线 的物理防护措施 至少两个区域,核心区和非核心区,电子认证服务机构签名密钥的存储和使 商业交易普通级 用设备需存放在安全级别较高的核心区,并进行电子屏蔽,保证非屏蔽时间 每天少于10min 至少3个区域,核心区,控制区和服务区,电子认证服务机构密钥的存储和使 用设备需放置在安全级别最高的核心区,并进行电子屏蔽,不允许任何时长 商业交易中级 的非屏蔽;发布签名命令的设备以及涉及隐私信息的资料或数据库需放置在 商业交易 安全级别次高的控制区 至少4个区域,核心区、控制区、支持区和接待区,电子认证服务机构密钥的存 储和使用设备需放置在安全级别最高的核心区,并进行电子屏蔽,不允许任 商业交易高级 何时长的非屏蔽;发布签名命令的设备以及涉及隐私信息的资料或数据库需 放置在安全级别次高的控制区;资料库、web服务器和监控等重要设备需放 置在安全级别较高的支持区 至少3个区域,核心区,控制区和服务区,电子认证服务机构密钥的存储和使 用设备需放置在安全级别最高的核心区,并进行电子屏蔽,保证非屏蔽时间 设备普通级 每天少于10min;发布签名命令的设备以及涉及隐私信息的资料或数据库需 放置在安全级别次高的控制区 设备 至少4个区域,核心区、控制区,支持区和接待区,电子认证服务机构密钥的存 储和使用设备需放置在安全级别最高的核心区,并进行电子屏蔽,不允许任 设备可信级 ;发布签名命令的设备以及涉及隐私信息的资料或数据库需 何时长的非屏版 放置在安全级别次高的控制区;资料库、web服务器和监控等重要设备需放 置在安全级别较高的支持区 个区域核心区、控制区和服务区,电子认证服务机构密钥的存储和使 至少3 用设备需放置在安全级别最高的核心区,并进行电子屏蔽,不允许任何时长 公众服务非实名级 或 数 的非斥蔽;发布签名命令的设备以及涉及隐私信息的资料 据库需放置在 安全级别次高的控制区 公众服务 至少3个区域,核心区,控制区和服务区,电子认证服务机构密钥的存储和使 用设备需放置在安全级别最高的核心区,并进行电子屏蔽,不允许任何时长 公众服务实名级 的非屏蔽;发布签名命令的设备以及涉及隐私信息的资料或数据库需放置在 安全级别次高的控制区 9.1.2物理访问 当人员从一个区域进人另一个区域或者进人安全级别较高的区域时,应通过相应的访问控制 只有授权人员才能对电子认证服务机构的物理设备进行操作 本标准中证书策略对不同安全区域 的具体访问控制要求如表16所示 21
GB/I31508一2015 表16证书策略对不同安全区域的访问控制要求 区域名称 访问控制要求 核心区 两人或两人以上共同操作 控制区 两人或两人以上共同操作 支持区 单人双因素认证 电子门禁系统; 服务区 外来访客需验证身份后登记方可进人 电子门禁系统 接待区 外来访客需验证身份后登记方可进人 电子门禁系统 非核心区 外来访客需验证身份后登记方可进人 9.1.3电力和空调 电子认证服务机构的安全设施应具有主、备电力供应系统,以确保持续不间断的电力供应 同时对 于关键的安全设施,也应具有主、备空调系统来控制温度和湿度 g.1.4防水措施 电子认证服务机构的安全设施应安装在具有防水设备的场所,并制定相应的流程,以防止洪水或者 其他由于暴露在有水的环境对系统造成的损害 9.1.5火灾预防与保护 电子认证服务机构的设备机房应提供火灾自动报警系统和应急处理装置,并制定有相应的处理流 程,以防止明火或者烟雾对电子认证系统造成损害或不利影响 签发商业交易高级和设备可信级策略证书的电子认证服务机构的核心区需配备气体灭火装置 g.1.6介质存储 电子认证服务机构应保证存储介质不会被意外破坏如;水,火和电磁干扰),不被未经授权的物理 访问 9.1.7废弃物处理 电子认证服务机构应制定废弃物处理流程,对不再使用的敏感介质、文件和其他废弃物,应以安全 的方式销毁,销毁方法包括但不限于以下形式 纸质的敏感信息应通过粉碎,焚烧或其他不可恢复的方法处理 信息系统的存储介质和废弃的密码设备等应根据制造南的指南将其物理销毁 g.1.8异地备份 电子认证服务机构应对关键数据和其他包括审计数据在内的敏感信息提供安全的异地备份 本标 准中证书策略对异地备份的要求,如表17所示 22
GB/T31508一2015 表17证书策略中对异地备份的要求 类别 异地备份要求 级别 备份中心应设在不同的地级行政单位; 基线 基线 备份中心与生产中心直线距离在10km以上 备份中心应设在不同的地级行政单位; 商业交易普通级 备份中心与生产中心直线距离在10km以上 备份中心应设在不同的地级行政单位; 商业交易中级 商业交易 备份中心与生产中心直线距离在10km以上 备份中心应设在不同的地级行政单位; 商业交易高级 备份中心与生产中心直线距离在50km以上 备份中心应设在不同的地级行政单位; 设备普通级 备份中心与生产中心直线距离在10km以上 设备 备份中心应设在不同的地级行政单位 设备可信级 备份中心与生产中心直线距离在50km以上 备份中心应设在不同的地级行政单位 公众服务非实名级 备份中心与生产中心直线距离在50km以上 公众服务 备份中心应设在不同的地级行政单位; 公众服务实名级 备份中心与生产中心直线距离在50km以上 9.2流程控制 9.2.1 关键岗位 关键岗位包括应访问、操作或者管理认证和密码设备的岗位 服务于关键岗位的员工被认为是可信人员 参与关键岗位操作的第三方服务人员和顾问等应被认 定为“等同可信人员” 成为可信人员应符合本标准中证书策略关于人员的要求 9.2.2每项任务需要的人数 电子认证服务机构应该建立、维护和执行严格的控制流程,进行职责分离,确保敏感操作由多名可 信人员参与才能完成 例如;对于设备的物理访问和逻辑访问应进行职责分离 特别敏感的操作应有多名可信人员共同参与,如;访问和管理电子认证服务机构的硬件密码设备和 相关的密钥材料等 本标准中敏感操作包括但不限于 访问资料库中严格控制的区域; 生成、签发和销毁电子认证服务机构证书; 电子认证服务系统的维护 本标准中证书策略对敏感操作参与人数的要求,如表18所示 23
GB/I31508一2015 表 18证书策胳中敏感操作参与人数的要求 类别 级别 人数要求 至少2名 基线 基线 商业交易普通级 至少2名 商业交易 商业交易中级 至少2名 商业交易高级 至少3名 设备普通级 至少2名 设备 设备可信级 至少3名 公众服务非实名级 至少2名 公众服务 公众服务实名级 至少2名 9.2.3岗位的标识和鉴别 在执行下述操作前,电子认证服务机构应对服务于关键岗位的人员进行身份鉴别 为可信人员分配用于访问物理设备、设施的权限,并发放实现上述权限所需的门禁卡、钥匙等; 为其发放电子凭证,用于访问特定的信息系统和电子认证服务系统 身份的鉴别应包括:行使人事职能或者安全管理的可信人员应对被调查人的身份进行当面的核查， 并要求被调查人提供有效身份证件 更进一步的背景调查应按照9.3.2的要求进行 9.2.4需要职责分离的岗位 同一个人员不应同时服务于以下任何两个或两个以上的岗位 应进行职责分离的岗位包括但不 限于 证书申请信息的验证; 证书申请、,撤销请求,更新请求、信息变更的批准、拒绝或其他; 签发或撤销证书,以及对资料库中严格控制区域的访问 订户信息或者订户请求的保管， 生成、签发和销毁电子认证服务机构证书 电子认证服务系统的维护 9.3人员控制 9.3.1资历和安全要求 电子认证服务机构应要求可信人员提供有关教育背景、资格证书以及相关从业经历的证明 如果 需婆,也应要求可信人员提供无犯果证明 9.3.2背景审查流程 电子认证服务机构应制定并执行严格的背景审查流程,对担当关键岗位的人员进行审查,并定期进 行复审 本标准中证书策略对背景审查流程的要求.,如表19所示 24
GB/T31508一2015 表19证书策略中背景审查流程的要求 类别 级别 背景审查流程要求 背景调查中,有下列行为的被审查人不应通过审查 基线 基线 被审查人提供虚假信息; 有犯罪记录 背景调查中,有下列行为的被审查人不应通过审查 商业交易普通级 被审查人提供虚假信息; 有犯罪记录 背景调查中,有下列行为的被审查人不应通过审查 被审查人提供虚假信息; 商业交易中级 有犯罪记录; 商业交易 有不良财务记录 背景调查中,有下列行为的被审查人不应通过审查 被审查人提供虚假信息; 商业交易高级 有犯罪记录; 有不良财务记录 被审查人应提供推荐信 背景调查中,有下列行为的被审查人不应通过审查 设备普通级 被审查人提供虚假信息; 有犯罪记录 背景调查中,有下列行为的被审查人不应通过审查 设备 被审查人提供虚假信息; 设备可信级 有犯罪记录 有不良财务记录 被审查人应提供推荐信 背景调查中,有下列行为的被审查人不应通过市查 被审查人提供虚假信息; 公众服务非实名级 有犯罪记录 有不良财务记录 被审查人应提供推荐信 公众服务 背景调查中,有下列行为的被审查人不应通过审查: 被审查人提供虚假信息; 公众服务实名级 有犯罪记录; 有不良财务记录 被审查人应提供推荐信 9.3.3培训要求 电子认证服务机构应对其人员进行培训,培训内容与人员对应职责相关,包括;使用,操作和维护电 子认证服务系统过程中涉及的职责、安全机制例如:灾难恢复的方法、业务连续性要求)以及电子认证 服务系统的软硬件操作规范等 25
GB/I31508一2015 电子认证服务机构应定期对培训内容进行审查 9.3.4培训周期要求 电子认证服务机构应定脚对相关人员进行培训 当《电子认证业务规则》有重大的内容更新或电子认证服务机构系统有重大的升级改动时,电子认 证服务机构应及时对相关人员进行培训 本标准中证书策略对培训周期的要求,如表20所示 表20证书策略中对培训周期的要求 类别 级别 培训周期要求 至少每年培训一次:; 基线 基线 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 至少每年培训一次; 商业交易普通级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 至少每年培训一次; 商业交易 商业交易中级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 至少每半年培训一次; 商业交易高级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 至少每年培训一次; 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 设备普通级 培训 设备 至少每半年培训一次; 设备可信级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 至少每年培训一次; 公众服务非实名级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 公众服务 至少每年培训一次; 公众服务实名级 重大的内容更新或电子认证服务机构系统有重大的升级改动,应进行 培训 9.3.5未授权行为的处罚 电子认证服务机构应建立、维护和实施相应的管理办法,对相关人员的未授权行为,如;对电子认证 服务系统和资料库等进行的未经授权访问,进行处罚,未授权行为出现的次数和严重程度不同,处罚的 力度也应不同 9.3.6独立合约人的要求 当满足如下条件时,电子认证服务机构应允许独立合约人或者顾问成为“等同可信人员” 26

信息安全技术公钥基础设施数字证书策略分类分级规范GB/T31508-2015解析

随着信息化时代的到来，网络安全问题逐渐成为人们关注的焦点。在这种情况下，数字证书作为一种重要的身份认证机制，得到了广泛的应用。而数字证书的核心是公钥基础设施（PKI），它提供了数字证书的生成、管理和验证等全部功能。对于企业或个人来说，搭建一个安全可靠的PKI系统显得尤为重要。

然而，一个完善的PKI系统不仅需要成熟的技术支持，更需要严格的规范标准。此时，GB/T31508-2015《信息安全技术 公钥基础设施数字证书策略分类分级规范》便应运而生。

GB/T31508-2015标准是中国电子工业标准化技术协会与公安部信息安全测评中心联合起草的，旨在规范数字证书策略分类分级。它对数字证书的生成、颁发、撤销和验证等方面进行了详细的规定，从而可以有效地保证数字证书在使用过程中的安全性和可靠性。

根据GB/T31508-2015标准，数字证书策略可以分为三个层次：根证书策略、中间证书策略和终端证书策略。其中，根证书策略是最高层次，用于证书颁发机构的证书签名；中间证书策略则用于各级证书颁发机构之间的互信；而终端证书策略则是最底层次，用于终端用户身份认证。

此外，GB/T31508-2015还规定了数字证书的内容格式和管理方式。例如，在数字证书中必须包含证书持有人的公钥和身份信息等内容，同时也要求数字证书的存储和传输要符合相关的安全标准。

总之，GB/T31508-2015《信息安全技术 公钥基础设施数字证书策略分类分级规范》为数字证书的安全应用提供了有力的规范和指导，对于保障网络安全起到了重要的作用。在实际应用中，企业或个人应该遵守相关规定，加强数字证书管理，从而确保数字证书的真实性、准确性和可靠性。

信息安全技术公钥基础设施数字证书策略分类分级规范的相关资料

和信息安全技术公钥基础设施数字证书策略分类分级规范类似的标准