证书主体身份标识及鉴别控制征求意见.docx
《证书主体身份标识及鉴别控制征求意见.docx》由会员分享,可在线阅读,更多相关《证书主体身份标识及鉴别控制征求意见.docx(12页珍藏版)》请在冰豆网上搜索。
证书主体身份标识及鉴别控制征求意见
证书主体身份标识和鉴别控制及证书分发控制规范
(征求意见稿)
信息安全协调司
二零一零年一月
第一章总则部分
第一条(制定本规范的目的)
为了保障电子认证服务的可靠性,规定电子认证服务机构的相关义务,促进电子认证服务业的有序竞争和健康发展,根据《中华人民共和国电子签名法》(以下简称“《电子签名法》”),制定本规范。
第二条(适用范围)
本规范适用于中华人民共和国境内获得电子认证服务许可的机构(以下简称“电子认证服务机构”)。
第三条(规范涉及的相关概念)
本规范所称的证书主体可定义为证书公钥对应的实体,它可以是个人、机构、设备(如防火墙、路由器、服务器)等,体现在证书主体公钥项中。
本规范所称的身份标识是指电子认证服务机构对证书主体对应的实体身份和相关属性进行命名和标识的规则。
本规范所称的证书主体身份鉴别控制,是指电子认证服务机构在颁发证书之前如何验证及确定证书主体对应的实体身份的过程。
本规范所称的证书分发控制,是指证书主体对应的实体接受电子认证服务机构颁发数字证书的过程。
第四条(监督管理)
中华人民共和国工业和信息化部(以下简称“工业和信息化部
”)依法对电子认证服务业务中的证书主体身份标识与鉴别控制及分发控制实施监督管理。
第二章证书类别及证书主体身份标识
第五条(证书类别)
根据证书主体所标识的身份类别,证书可分为个人证书、机构证书、设备证书与其它类型证书。
个人证书是指以个人名义申请,在证书主体身份标识中含有个人身份信息的数字证书;
机构证书是指以机构名义申请,在证书主体身份标识中含有机构身份信息的数字证书;
设备证书是指以个人名义或机构名义申请,在证书主体身份标识中含有设备身份信息的数字证书,例如服务器证书、VPN设备证书、网关设备证书等。
其它类型证书是指以个人名义或以机构名义申请,在证书主体身份标识中含有其它相关身份信息的数字证书。
第六条(证书主体身份标识内容总体要求)
电子认证服务机构签发的数字证书应当根据证书主体的身份类别,在证书主体公钥项中体现相应的身份标识,以确保电子签名依赖方能够证实或了解数字证书所载内容及其它有关事项。
第七条(个人证书主体身份标识内容)
个人证书的证书主体公钥项中应当包含可用于标识个人身份的信息,个人身份信息是指个人实名身份证件上的身份信息,其中个人实名身份证件
包括:
(1)居住在境内的中国公民,为居民身份证或者临时居民身份证;
(2)居住在境内的16周岁以下的中国公民,为户口簿;
(3)中国人民解放军军人,为军人身份证件;中国人民武装警察,为武装警察身份证件;
(4)香港、澳门居民,为港澳居民实名身份证件或往来内地通行证;台湾居民,为台湾居民实名身份证件或来往大陆通行证或者其他有效旅行证件;
(5)依照有关法律、行政法规和国家有关规定的其它实名身份证件;
(6)居住在境外的公民,为符合当地法律、行政法规和该国有关规定的实名身份证件。
第八条(机构证书主体身份标识内容)
机构证书的证书主体公钥项中应当包含可用于标识机构身份的信息,机构身份信息是指机构身份证件上的身份信息,其中机构身份证件包括:
(1)企业法人营业执照;
(2)事业单位法人证书;
(3)组织机构代码证;
(4)税务登记证;
(5)依照有关法律、行政法规和国家有关规定的其它机构身份证明;
(6)境外机构的身份证件,为符合当地法律、行政法规和该国有关规定的机构身份证件。
第九条(设备证书主体身份标识内容)
设备证书的证书主体公钥项中应当包含可用于标识设备身份的信息,设备信息包括:
互联网域名、IP地址、或其它可以标识设备的信息。
第十条(其它类型证书主体身份标识内容)
电子认证服务机构在签发其它类型的证书时,必须有合理的机制确保证书主体公钥项中的信息与证书主体的真实身份信息相关联:
(1)制订相应的证书策略;
(2)在证书策略中明确对此类证书中所采用的主体身份标识规则;
(3)在证书主体公钥项中标明该类证书所对应的证书策略。
第十一条(证书主体身份证件类型的标识方法)
电子认证服务机构应当根据证书信息中的身份证件类型,在证书主体公钥项中对证件类型进行标识。
第十二条(需要附加标识的证书)
某些特殊的证书,除了在证书主体公钥项中须含有身份信息之外,还须在证书主题备用名、扩展域或其它域中附加相应的标识信息,如电子邮件证书须附加电子邮件地址信息,代码签名证书须附加该证书为代码签名证书的信息。
第十三条(有特定需求的身份信息标识方法)
对于有信息保密需求的特定证书,电子认证服务机构可根据证书策略应用需求,将需要保密的证书主体身份标识信息以适合的编码规则进行编码后体现在证书主体公钥项中,但必须将证书信息与真实的证书主体身份标识信息相关联,且应在证书策略中明确应用的范围与规则。
第三章证书主体身份鉴别要求
第十四条(身份鉴别的总体要求)
电子认证服务机构应当根据证书策略,为每类证书所对应的证书主体制定相应的身份鉴别机制,明确证书申请人应提供的申请材料,并严格执行对证书申请人身份进行查验的程序。
第十五条(个人证书的鉴别材料要求)
电子认证服务机构接受个人证书申请人申请材料时,应根据公布的证书策略及对应的身份鉴别机制,按照如下方式进行:
需要个人证书申请人到达证书申请现场时,电子认证服务机构应要求证书申请人出示本规范第七条中所列示的至少一种个人实名身份证件;当证书申请人授权他人代为办理时,电子认证服务机构应要求代理人同时出示代理人与被代理人的身份证件以及授权证明;
不需要个人证书申请人到达证书申请现场时,电子认证服务机构应要求证书申请人将个人实名身份证件的影印件以传真或邮寄等方式发送至电子认证服务机构,但材料是否可信还需要通过相应证书策略公布的其他身份鉴别机制进一步确认。
第十六条(机构证书的鉴别材料要求)
电子认证服务机构接受机构证书申请人申请材料时,应根据公布的证书策略及对应的身份鉴别机制,按照如下方式进行:
需要机构证书的授权申请人到达证书申请现场时,电子认证服务机构应要求授权申请人出示本规范第八条中所列示的至少一种机构身份证件,授权申请人的个人实名身份证件,以及机构授予申请人的授权证明;
不需要机构证书的授权申请人到达证书申请现场时,电子认证服务机构应要求授权申请人将第条中所列示的至少一种机构身份证件,授权申请人的个人实名身份证件,以及机构授予申请人的授权证明的影印件以传真或邮寄等方式发送至电子认证服务机构,但材料是否可信还需要通过相应证书策略公布的其他身份鉴别机制进一步确认。
第十七条(设备证书的鉴别材料要求)
电子认证服务机构接受设备证书申请人申请材料时,应根据公布的证书策略及对应的身份鉴别机制,按照如下方式进行:
若设备证书主体公钥项中对应设备的所有者为个人,电子认证服务机构除应按照
本规范第十五条的规定要求设备证书申请人提供相应的申请材料外,还应同时要求证书申请人出示该设备归属于申请人的所有权证明或被授权使用证明,如服务器证书需提供域名、IP地址的相关证明;
若设备证书主体公钥项中对应设备的所有者为机构,电子认证服务机构除应按照本规范第九条的规定要求机构证书的授权申请人提供相应的申请材料外,还应同时要求证书申请人出示该设备归属于申请人的所有权证明或被授权使用证明,如服务器证书需提供域名、IP地址的相关证明。
第十八条(证书鉴别流程中告知要求)
电子认证服务机构在受理数字证书申请前,应向申请人告知:
1、证书申请人应按照电子认证服务机构公布的证书策略、电子认证业务规则以及相关的协议要求提供真实、完整和准确的身份信息;
2、在鉴证流程中双方的责任范围;
第十九条(证书鉴别流程中受理申请材料的要求)
电子认证服务机构应指定证书申请材料接收人员接收申请材料,进行初步的完整性检查,确保材料符合鉴证要求。
第二十条(证书鉴别流程中鉴证总体要求)
电子认证服务机构应指定证书鉴证人员,按照相应证书策略的要求,对不同证书类别的证书申请人身份信息进行鉴别。
第二十一条(证书鉴别流程中个人证书的鉴证要求)
个人证书的鉴证应采用查询第三方身份信息数据库的方式,特殊情况下可采用本机构及证书依赖方信任的其它信息渠道,确认个人身份信息的真实性与准确性;
第二十二条(证书鉴别流程中机构证书的鉴证要求)
机构证书的鉴证应采用查询第三方身份信息数据库的方式,特殊情况下可采用本机构及证书依赖方信任的其它信息渠道,确认机构身份信息与授权申请人身份信息的真实性与准确性,以及授权信息的真实性;
第二十三条(证书鉴别流程中设备证书的鉴证要求)
个人申请设备证书时,电子认证服务机构除了按照个人证书的鉴别要求进行鉴别之外,还应采用查询第三方身份信息数据库的方式,特殊情况下可采用本机构及证书依赖方信任的其它信息渠道,确认设备归属于证书申请人所有权的真实性或被授权使用证明的真实性;
机构申请设备证书时,电子认证服务机构除了按照机构证书的鉴别要求进行鉴别之外,还应采用查询第三方身份信息数据库的方式,特殊情况下可采用本机构及证书依赖方信任的其它信息渠道,确认设备归属于证书申请机构所有权的真实性或被授权使用证明的真实性。
第四章证书的签发与分发控制
第二十四条(证书签发流程中录入审核的要求)
证书申请材料鉴证人员完成鉴证后,电子认证服务机构应指定录入人员将申请信息录入至证书签发系统中,并经审核人员审核无误后,方可签发证书。
第二十五条(证书签发流程中签发类型的说明)
根据各类证书的不同签发要求,证书的分发可分为三种情形;
证书申请人向电子认证服务机构提交所需申请材料的同时,提交证书公钥信息;
证书申请人只向电子认证服务机构提交所需的申请材料,不提交证书公钥信息;
上述两种情形以外的其它情形。
第二十六条(证书签发流程中签发类型一的要求)
电子认证服务机构要求证书申请人在提交申请材料的同时,须提交证书公钥信息时,应要求证书申请人按照国际通用的证书申请请求标准生成包含证书公钥信息、证书主体身份信息的证书申请请求电子文件。
电子认证服务机构应对该电子文件中所包含的身份信息进行验证,确保该信息与经鉴证的证书主体身份信息完全匹配。
验证通过后,在签发证书时,电子认证服务机构还应验证证书申请人持有与证书公钥信息所对应的私钥,以上验证均通过后方可签发证书。
第二十七条(证书签发流程中签发类型二的要求)
电子认证服务机构不需证书申请人同时提交申请材料与证书公钥信息时,应先将证书下载凭证以安全可靠的方式,如密码信封、挂号信件、安全电子邮件等途径发放给证书申请人,并告知证书申请人证书下载途径。
电子认证服务机构应保证所提供的证书下载途径真实、安全、可靠。
证书申请人通过电子认证服务机构约定途径下载证书前,电子认证服务机构应告知证书申请人证书请求的生成方式、各自的权利和义务,并要求证书申请人接受。
证书申请人下载证书时,电子认证服务机构应对证书下载凭证进行验证,同时需验证证书申请人持有与证书公钥信息所对应私钥的符合性,验证通过后方可签发证书。
证书下载凭证是证书申请人下载证书时的重要凭证,证书下载凭证的形式应满足如下要求:
1、为随机生成、不重复、不可预测的编码;
2、必须同时包含字母与数字的组合;
编码应至少采用两组组合,每组长度不应小于9位。
电子认证服务机构应为证书下载凭证设置一定的有效期,最长不应超过30天,并要求证书申请人妥善保管下载凭证。
证书签发成功后,下载凭证立刻失效。
第二十八条(证书签发流程中签发类型三的要求)
对于上述情形以外的其它情形,如不需证书申请人提交证书公钥信息时,电子认证服务机构应有必要的控制措施确保证书签发时的安全、可靠,并确保证书私钥的唯一性。
第二十九条(证书分发流程中分发类型一的要求)
电子认证服务机构按照本规范第二十六条的要求签发出相应的证书后,证书可通过以下方式分发给申请人:
1、电子认证服务机构告知申请人证书下载路径,申请人在指定路径下载证书;
2、电子认证服务机构将证书通过电子邮件的形式发送给申请人;
3、电子认证服务机构提供的其他方式。
第三十条(证书分发流程中分发类型二的要求)
电子认证服务机构按照本规范第二十七条的要求签发出相应的证书后,证书可通过如下方式分发给申请人:
1、电子认证书服务机构根据证书申请人所采取的证书请求生成方式,为证书申请人在线安装证书;
2、电子认证服务机构告知申请人证书下载路径,申请人在指定路径下载证书;
3、电子认证服务机构将证书通过电子邮件的形式发送给申请人;
4、电子认证服务机构提供的其他方式。
第三十一条(证书分发流程中分发类型三的要求)
在其他类型的证书当中,电子认证服务机构应有合理的机制确保证书以安全、可靠、可追溯的方式分发至真实的证书申请人,并在证书分发的同时将证书信息与证书申请人的真实身份信息进行关联。
第五章管理要求
第三十二条(相关人员角色的定义)
电子认证服务机构应在证书主体身份标识鉴别与分发过程中设置下列业务操作员角色:
证书申请材料接收人员:
负责指导证书申请人填写相关申请资料,接收证书申请人的证书申请材料,并对材料进行完整性检查;
证书申请材料鉴证人员:
负责按照电子认证服务机构证书策略的要求,对证书申请人的身份信息进行查验,并对有关材料进行审查;
证书申请信息录入人员:
负责在注册管理系统中录入证书申请人的身份信息;
证书申请信息审核人员:
负责在注册管理系统中审核录入人员录入的信息,确保录入信息正确完整;
证书分发人员:
负责将证书或证书下载凭证按照第四章第条、第条的不同要求分发给对应的证书申请人。
第三十三条(相关人员资格要求)
电子认证服务机构应选用可信人员担任上述业务操作员的角色;
电子认证服务机构应对上述业务操作员进行相应的岗位培训,业务操作员应符合相应岗位的技能要求。
第三十四条(安全要求)
电子认证服务机构应选用不同的人员担任证书申请录入人员与证书申请信息审核人员的角色。
第三十五条(保密要求)
电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。
电子认证服务机构相关业从业人员对电子签名人和电子签名依赖方的资料负有保密的义务。
第三十六条(资料管理要求)
电子认证服务机构应建立完善的资料保存制度,并选用可信人员行使资料管理职责,对证书申请人提供的申请材料,及电子认证服务机构查验申请人身份与审查有关材料时所使用的辅助资料进行妥善保存,保存期限至少为证书失效后5年。
第三十七条(环境要求)
电子认证服务机构应为注册管理系统及资料保存场所设置必要的物理访问控制措施,包括且不限于门禁控制及视频监控系统。
第三十八条(委外总体要求)
电子认证服务机构将证书主体身份标识鉴别及分发过程中的部分或全部职责委托外部机构行使时,应建立完善的管理制度,并采取有效的措施确保鉴别与分发过程的可靠性。
第三十九条(委外中对协议的要求)
电子认证服务机构应与所委托的外部机构签订相应的合作协议,按照证书策略与电子认证业务规则的要求,界定所委托的职责范围,并明确双方的权利与义务。
第四十条(委外中对审计的要求)
电子认证服务机构应对所委托的外部机构进行日常监管,并根据证书策略要求与协议内容进行定期审计,审计可根据双方的协议要求选用第三方进行。
第四十一条(委外中对质量控制的要求)
电子认证服务机构根据日常监管记录及审计报告内容发现被委托的外部机构有不遵守电子认证业务规则要求的行为时,应要求被委托的外部机构限期改正;逾期未改正的,电子认证服务机构可根据相关法律法规的要求,要求被委托的外部机构承担相应的赔偿责任。
第六章监督管理与法律责任部分
第四十二条(电子认证服务机构自监督管理机制)
电子认证服务机构应当定期对本机构的证书鉴证与分发行为进行评估,根据实际情况制定或修订相应的管理方案,建立健全的管理机制保障认证服务业务的可靠性。
第四十三条(主管部门的监管机制)
工业和信息化部对电子认证服务机构的证书标识、鉴证与分发行为进行定期、不定期的监督检查。
第四十四条(电子认证服务机构义务)
电子认证服务机构应按本机构定向或公开公布的的证书主体标识与鉴别控制及分发控制方案或相应策略提供相应电子认证服务。
第四十五条(证书持有人的法律责任)
证书持有人未按电子认证服务机构相关证书的鉴证要求提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务机构造成损失的,承担赔偿责任。
第四十六条(电子认证服务机构的法律责任)
证书持有人或者电子签名依赖方因依据电子认证服务机构提供的证书主体标识与鉴别控制及分发控制方案或相应策略从事民事活动遭受损失,电子认证服务机构不能证明自己是否符合既定规范的,承担赔偿责任。
(本资料素材和资料部分来自网络,仅供参考。
请预览后才下载,期待您的好评与关注!
)
升级会员 