PDF《河南信安 CA》

河南信安 CA 电子认证业务规则 (正式版本2.

0) (生效日期:2017年1月) 河南省信息化发展有限公司 Henan Province Information Development Co.,Ltd 电子认证服务业务规则 河南省信息化发展有限公司 I 河南信安CA电子认证服务业务规则版本说明 河南省信息化发展有限公司电子认证服务业务规则如表1所示: 版本 发布日期 备注 2.0

2017 年1月5日依据业务发展情况,进行修订. 1.0

2013 年01 月21 日 依据《电子认证服务业务规则规范》制定 注:河南省信息化发展有限公司已发布最新版本为V2.0. 表1:河南省信息化发展有限公司电子认证服务业务规则版本. 电子认证服务业务规则 河南省信息化发展有限公司 II 目录1概括性描述.1 1.1 概述.1 1.2 文档名称与标识.1 1.2.1 名称.1 1.2.2 版本.1 1.3 认证体系的成员.2 1.3.1 电子认证服务机构.2 1.3.2 注册机构.3 1.3.3 订户.3 1.3.4 依赖方.4 1.3.5 其他成员.4 1.4 证书应用.4 1.4.1 证书性质.4 1.4.2 禁止的证书应用.4 1.5 策略管理.4 1.5.1 策略文档管理机构.4 1.5.2 联系信息.5 1.5.3 决定 CPS 符合策略的机构.5 1.5.4 CPS 批准流程.5 1.6 定义和缩写.5

2 信息发布与信息管理.10 2.1 信息库.10 2.2 认证信息的发布.10 2.2.1 CPS 的发布.10 2.2.2 证书和 CRL 发布.10 2.3 发布时间或频率.11 2.3.1 CPS 的发布时间或频率.11 2.3.2 证书的发布时间或频率.11 2.4 对信息的访问控制.11

3 身份标识与鉴别.13 3.1 命名.13 3.1.1 各类数字证书 CN 的取值方式.13 3.1.2 DN 说明条款.14 3.2 初始身份确认.14 3.2.1 证明拥有私钥的方法.14 3.2.2 机构的身份确认.14 3.2.3 个人的身份确认.15 3.2.4 不予验证的用户信息.16 3.2.5 审核认证体系成员身份确认.16 3.2.6 互操作原则.16 电子认证服务业务规则 河南省信息化发展有限公司 III 3.3 证书(密钥)更新请求中的身份鉴别.17 3.4 证书注销请求中的身份鉴别.17

4 证书生命周期操作规范.18 4.1 证书申请.18 4.2 证书申请处理.18 4.2.1 身份审核.18 4.2.2 证书申请的接受与拒绝.18 4.2.3 处理证书申请的时间.18 4.3 证书签发.19 4.4 证书接受.19 4.4.1 证书的发布.19 4.4.2 接受证书的方式.19 4.5 密钥对和证书的使用.20 4.5.1 用户私钥和证书的使用.20 4.5.2 依赖方对他人证书和公钥的使用.20 4.6 证书更新.20 4.6.1 证书更新的情形.20 4.6.2 证书更新请求的处理.21 4.6.3 证书更新的签发、发布和用户接受.21 4.7 证书密钥更新.21 4.7.1 证书密钥更新的内容.21 4.7.2 证书密钥更新请求的审核.21 4.7.3 证书密钥更新的签发、发布和用户接受.21 4.8 证书变更.22 4.8.1 证书变更的内容.22 4.8.2 证书变更请求的审核.22 4.8.3 证书变更的签发、发布和用户接受.22 4.9 证书的注销和挂起.22 4.9.1 证书注销的情形.22 4.9.2 证书注销的处理.23 4.9.3 注销请求的宽限期.23 4.9.4 证书挂起的处理.24 4.9.5 证书注销和挂起状态的发布.24 4.9.6 依赖方检查证书状态的要求.24 4.10 证书状态服务.24 4.11 订购结束.25 4.12 密钥生成、备份和恢复.25 4.12.1 密钥的生成和备份.25 4.12.2 密钥的恢复.25 4.12.3 密钥对的存储和恢复安全策略.25

5 认证机构设施、管理和操作控制.26 5.1 物理控制.26 5.1.1 机房的建筑.26 电子认证服务业务规则 河南省信息化发展有限公司 IV 5.1.2 物理访问.26 5.1.3 电源和空调.26 5.1.4 水患防治.27 5.1.5 火灾预防和保护.27 5.1.6 介质存储.27 5.1.7 废物处理.27 5.1.8 异地备份.27 5.1.9 入侵侦测报警系统.28 5.2 操作过程控制.28 5.2.1 可信角色.28 5.2.2 角色要求的人数.28 5.2.3 可信角色的鉴别.28 5.2.4 职责需分离的角色.29 5.3 人员控制.29 5.3.1 人员资格要求.29 5.3.2 背景调查程序.29 5.3.3 培训要求.29 5.3.4 再培训要求.30 5.3.5 对未授权操作的处理.30 5.4 审计日志程序.30 5.4.1 记录事件的类型.30 5.4.2 日志的处理周期.31 5.4.3 审计日志的保存期限.31 5.4.4 审计日志的保护.31 5.4.5 审计日志的备份.31 5.4.6 审计日志的采集.31 5.4.7 对导致事件实体的通告.32 5.4.8 脆弱性评估.32 5.5 记录归档.32 5.5.1 归档记录种类.32 5.5.2 档案保存期限.32 5.5.3 档案的保护.32 5.5.4 档案备份.32 5.5.5 档案的标识.32 5.5.6 档案采集系统.32 5.5.7 档案验证.33 5.6 CA 的密钥更替.33 5.7 损害和灾难恢复.33 5.7.1 HNXACA 遭攻击或发生损害事故时的恢复程序.33 5.7.2 计算资源、软件或数据的破坏处理.33 5.7.3 CA 私钥损害的处理.33 5.7.4 灾难发生后的业务保持.34 5.8 CA 或RA 业务终止.34 电子认证服务业务规则 河南省信息化发展有限公司 V 5.8.1 CA 业务终止.34 5.8.2 注册机构业务终止.34

6 认证系统技术安全控制.35 6.1 密钥对的生成和安装.35 6.1.1 密钥对的生成.35 6.1.2 私钥的传递.35 6.1.3 公钥的传递.35 6.1.4 密钥长度.35 6.1.5 公钥参数的产生.36 6.1.6 密钥用途.36 6.2 私钥保护与密码模块的控制.36 6.2.1 密码模块标准与控制.36 6.2.2 私钥的分割管理.36 6.2.3 私钥托管.37 6.2.4 私钥备份.37 6.2.5 私钥归档.37 6.2.6 私钥在密码模块中的导入和导出.37 6.2.7 私钥在密码模块中的保存.37 6.2.8 私钥的激活.37 6.2.9 私钥的停止.38 6.2.10 私钥的撤销.38 6.3 密钥对的其他管理.38 6.3.1 公钥归档.38 6.3.2 密钥对与证书的有效期.38 6.4 激活数据.38 6.4.1 激活数据的产生.38 6.4.2 激活数据的保护.39 6.5 计算机安全控制.39 6.5.1 计算机安全性要求.39 6.5.2 计算机的安全等级.40 6.6 生命周期技术控制.40 6.6.1 系统开发控制.40 6.6.2 系统改进控制.40 6.6.3 安全管理控制.40 6.7 网络安全性控制.40 6.8 数字时间戳.41

7 证书、CRL 和OCSP.42 7.1 证书.42 7.1.1 版本号.42 7.1.2 证书扩展项.42 7.1.3 算法 OID.42 7.1.4 名称形式.42 7.1.5 证书密钥用法.43 电子认证服务业务规则 河南省信息化发展有限公司 VI 7.1.6 证书策略 OID.43 7.1.7 策略限定符的语法和语义.43 7.2 CRL.43 7.2.1 版本号.43 7.2.2 CRL 和CRL 条目扩展项.43 7.3 OCSP.44 7.3.1 版本号.44 7.3.2 OCSP 扩展项.44

8 认证机构审计和其他评估.45 8.1 审计的依据.45 8.2 审计的形式.45 8.3 审计或评估的频率.45 8.4 审计或评估人员的资质.45 8.5 审计或评估人员与 HNXACA 的关系.46 8.6 审计或评估的内容.46 8.7 对问题与不足采取的措施.46 8.8 审计或评估结果的传达与发布.46

9 法律责任和其他业务条款.47 9.1 费用.47 9.1.1 证书签发和更新费用.47 9.1.2 证书查询费用.47 9.1.3 证书状态信息查询费用.47 9.1.4 其他服务费用.47 9.1.5 退款政策.47 9.2 财务责任.47 9.3 业务信息保密.48 9.3.1 保密信息的范围.48 9.3.2 不在保密范畴内的信息.48 9.3.3 保护保密信息的责任.48 9.4 个人隐私保密.49 9.4.1 隐私保护方案.49 9.4.2 作为隐私处理的信息.49 9.4.3 不被视为隐私的信息.49 9.4.4 保护隐私信息的责任.49 9.4.5 使用隐私信息的告知与同意.49 9.4.6 依法律或行政程序的信息披露.50 9.4.7 其他信息披露情形.50 9.5 知识产权.50 9.5.1 HNXACA 自身拥有的知识产权声明.50 9.5.2 HNXACA 使用其他方知识产权的声明.50 9.6 陈述与担保.51 9.6.1 HNXACA 的陈述与担保.51 9.6.2 RA 的陈述与担保.51 电子认证服务业务规则 河南省信息化发展有限公司 VII 9.6.3 用户的陈述与担保.52 9.6.4 依赖方的陈述和担保.52 9.7 担保免责.52 9.8 HNXACA 偿付责任限制.53 9.9 用户和依赖方责任.54 9.9.1 用户的赔偿责任情况.54 9.9.2 依赖方的赔偿责任情况.54 9.10 有效期限与终止.54 9.10.1 有效期限.54 9.10.2 终止.54 9.10.3 效力的终止与保留.54 9.11 对参与者的个别通告与沟通.55 9.12 修订.55 9.12.1 修订程序.55 9.12.2 通告机制和期限.55 9.12.3 必须修改 CPS 的情形.55 9.13 争议处理.56 9.14 管辖法律.56 9.15 与适用法律的符合性.56 9.16 一般条款.56 9.16.1 完整协议条款.56 9.16.2 转让条款.56 9.16.3 分割性条款.57 9.16.4 强制执行条款.57 9.16.5 不可抗力条款.57 9.17 其他条款.57 9.17.1 各种规定的冲突.57 9.17.2 安全资料的财产权益.58 9.17.3 损害性资料.58 电子认证服务业务规则 河南省信息化发展有限公司

1 概括性描述 1.1 概述 河南省信息化发展有限公司,又称河南省信息安全电子认证中心(简称 信安CA、HNXACA ) ,成立于

2009 年7月6日,注册资金 3,077 万元人民币.公司 先后获得国家密码管理局颁发的《电子认证服务使用密码许可证》 、国家工业 和信息化部颁发的《电子认证服务许可证》 、国家密码管理局颁发的《商用密码 产品销售许可证》 , 通过了 国家密码管理局电子政务电子认证服务能力评估 、 国家卫生和计划生育委员会合规性测试 ,可以为电子政务及卫生系统提供电 子认证服务,是公平、公正、权威的第三方电子认证服务机构. 《河南省信息化发展有限公司电子认证服务业务规则》 (以下简称 HNXACA CPS )是河南省信息化发展有限公司按照《电子签名法》 、 《电子认证服务管理办 法》的要求,规范信安 CA 的电子认证业务的服务、管理,保障认证体系的可靠, 维护电子认证的权威性,有效地防范安全风险.明确规定信安 CA 在审核、签发、 发布、 存档和注销数字证书等证书生命周期管理以及相关的业务应遵循的各项操 作规范.报国家工业和信息化部备案,并在公司官网上进行公示. 信安 CA 严格按照《电子签名法》及《电子认证服务管理办法》等法律法规 要求,向用户提供可靠电子认证服务.信安 CA 认证体系内的成员包括有信安 CA (根CA) 、注册机构(业务受理点,即RA) 、数字证书用户、证书依赖方等成员, 组成完整的信安 CA 电子认证架构,为用户提供网上安全、可靠的电子身份认证 服务. 信安 CA 认证体系内的所有成员都必须严格遵循和执行 HNXACA CPS,并承担 相应的责任. 1.2 文档名称与标识 1.2.1 名称 本文档的名称是《河南省信息化发展有限公司电子认证服务业务规则》 ,简 称为 HNXACA CPS,是HNXACA 在颁发证书过程中所采取的业务操作规则规范. 1.2.2 版本 本HNXACA CPS 是HNXACA 发布的第二个版本,版本号为 V2.0. 电子认证服务业务规则 河南省信息化发展有限公司 第2页1.3 认证体系的成员 1.3.1 电子认证服务机构 HNXACA 是根据《电子签名法》及《电子认证服务管理办法》规定依法设立 的电子认证服务机构, 是网上安全电子交易中具有权威性和公正性的可信赖的第 三方机构.HNXACA 为网上业务的各参与方签发标识其身份的数字证书,并对数 字证书进行更新、注销等一系列管理.HNXACA 设立安全管理委员会、安全管理 小组等机构,进行相关管理活动.HNXACA 下设服务中心、及业务受理点(RA) , 进行业务管理及实施活动. (1)HNXACA 的根:ROOTCA ROOTCA 是HNXACA 电子认证服务系统加入的国家根的名称. HNXACA 为最终 用户颁发的个人证书、机构证书和设备证书由 ROOTCA 为HNXACA 签发的 CA 所 签发. (2)国家 RSA 根(一级)的DN 是: CN=ROOTCA O=OSCCA C = CN (3)HNXACA RSA 根(二级)信息: CN = HNXACA OU = HNXACA O = HeNan Province Information Development Co.,Ltd L = ZhengZhou S = HeNan C = CN HNXACA RSA 根证书的有效期为:2010年8月1日15:06:29――2020年7月29 日15:06:29 (4)国家 SM2 根(一级)证书: CN = ROOTCA O = NRCAC C = CN 电子认证服务业务规则 河南省信息化发展有限公司 第3页(5)HNXACA SM2 根(二级)信息: CN = XACA OU = HNXACA O = HeNan Province Information Development Co.Ltd L = ZhengZhou S = HeNan C = CN HNXACA SM2 根证书的有效期为:2016年 3月 2日11:35:13――2036年 2月 26日11:35:13. 1.3.2 注册机构 HNXACA 的注册机构(简称 RA) ,又称为业务受理点,是HNXACA 设立或授 权委托设立的数字证书业务受理机构.其业务范围包括:面向用户受理数字证书 业务和销售数字证书产品业务. 其中受理数字证书业务是指受理用户的证书注册 申请、审核用户身份、批准证书申请、证书制作、发放证书、接受和处理证书更 新、证书注销、密钥恢复以及其他需要直接面向用户的业务,其中密钥恢复业务 仅由指定受理点开展. 销售数字证书产品业务是指销售 HNXACA 的各类数字证书 以及数字证书存储介质. RA 按照 HNXACA 制定的 CPS 及相关业务受理点管理程序运营数字证书代理业 务.在代理数字证书业务的运营活动中,应按照 HNXACA 的规定,执行符合政策 规定的资费标准,向用户提供统一标准的服务. HNXACA 各RA 点挂牌的名称为 数字证书业务受理点 . 1.3.3 订户 订户也称为证书持有者, 也称为用户.是指拥有电子认证服务机构签发的有 效证书的实体. 包括从 HNXACA 处接受证书的任何个人或合法设立的组织.订户 符合以下情况: ? 在接受的证书中指明或识别为证书接受者;

? 已接受该证书并遵守本 CPS 和相关协议;

? 拥有与接受的证书内公钥所对应的私钥. 电子认证服务业务规则 河南省信息化发展有限公司 第4页1.3.4 依赖方 依赖方包括行为上依赖于 HNXACA 用户的证书及其数字签名的一方, 与订户 发生业务往来的个人或组织.依赖方可以是、也可以不是一个订户. 1.3.5 其他成员 HNXACA 认证体系在某种专门情况下所声明的其他相关成员. 1.4 证书应用 各个证书代表各自的身份进行使用.所有证书根据其颁发对象的不同,归为 以下三种: ? 个人证书 ? 机构证书 ? 设备证书 HNXACA 在开展业务时可能为某种对象的证书作特别的命名. 1.4........