编辑: kieth | 2019-04-16 |
0.1 版 发布日期:2017 年11 月9日生效日期:2017 年11 月9日北京数字认证股份有限公司 Copyright ? Beijing Certificate Authority Co.,Ltd. 数字认证公司事件型证书策略 版本控制表 版本 状态 修订说明 审核/批准人 生效时间 1.0.1 版本发布 新版本发布 公司 CPS 策略管理 委员会
2017 年11 月9日声明 本CP 全部或者部分支持下列标准: RFC3647:互联网 X.509 公钥基础设施-证书策略和证书业务声明框架 GB/T 26855-2011:信息安全技术公钥基础设施证书策略与认证业务声明框架 本文件所有版权归北京数字认证股份有限公司所有.未经书面授权,本文件 中所有的文字、
图表不得以任何形式进行抄袭和出版. 数字认证公司事件型证书策略 目录1. 引言.6 1.1. 概述.6 1.2. 文档名称与标识.6 1.3. PKI 参与者
6 1.3.1. 电子认证服务机构.6 1.3.2. 注册机构.7 1.3.3. 订户.7 1.3.4. 依赖方.7 1.3.5. 其他参与者.7 1.4. 证书应用.7 1.4.1. 适合的证书应用.7 1.4.2. 限制的证书应用.7 1.5. 策略管理.8 1.5.1. 策略文档管理机构.8 1.5.2. 联系人.8 1.5.3. 决定 CP 符合策略的机构.8 1.5.4. CP 批准程序.8 1.6. 定义和缩写.8 2. 信息发布与信息管理.10 2.1. 信息库.10 2.2. 认证信息的发布.10 2.3. 发布时间或频率.10 2.4. 信息库访问控制.10 3. 标识与鉴别.11 3.1. 命名.11 3.1.1. 名称类型.11 3.1.2. 对名称意义化的要求.11 3.1.3. 订户的匿名或伪名.11 3.1.4. 理解不同名称形式的规则.11 3.1.5. 名称的唯一性.11 3.1.6. 商标的承认、鉴别和角色.11 3.2. 初始身份确认.12 3.2.1. 证明持有私钥的方法.12 3.2.2. 订户身份的鉴别.12 3.2.3. 没有验证的订户信息.12 3.2.4. 授权确认.12 3.2.5. 互操作准则.12 3.3. 密钥更新请求的身份标识与鉴别.13 3.3.1. 常规密钥更新的标识与鉴别.13 3.3.2. 吊销后密钥更新的标识与鉴别.13 3.3.3. 证书变更的标识与鉴别.13 3.4. 吊销请求的标识与鉴别.13 数字认证公司事件型证书策略 4. 证书生命周期操作要求.14 4.1. 证书申请.14 4.1.1. 证书申请实体.14 4.1.2. 申请过程与责任.14 4.2. 证书申请处理.14 4.2.1. 执行识别与鉴别功能.14 4.2.2. 证书申请批准和拒绝.14 4.2.3. 处理证书申请的时间.15 4.3. 证书签发.15 4.3.1. 证书签发过程中电子认证服务机构的行为.15 4.3.2. 电子认证服务机构对订户的通告.15 4.4. 证书接受.15 4.4.1. 构成接受证书的行为.15 4.4.2. 电子认证服务机构对证书的发布.15 4.4.3. 电子认证服务机构在颁发证书时对其他实体的通告.16 4.5. 密钥对和证书的使用.16 4.5.1. 订户私钥和证书的使用.16 4.5.2. 依赖方对公钥和证书的使用.16 4.6. 证书更新.16 4.7. 证书密钥更新.16 4.8. 证书变更.16 4.9. 证书吊销和挂起.17 4.10. 证书状态服务.17 4.11. 订购结束.17 4.12. 密钥生成、备份与恢复.17 4.12.1. 密钥生成、备份与恢复的策略和行为.17 4.12.2. 会话密钥的封装与恢复的策略和行为.17 5. 电子认证服务机构设施、管理和操作控制.18 6. 认证系统技术安全控制.18 6.1. 密钥对的生成和安装.18 6.1.1. 密钥对的生成.18 6.1.2. 私钥传送给订户.18 6.1.3. 公钥传送给证书签发机构.18 6.1.4. 电子认证服务机构公钥传送给依赖方.18 6.1.5. 密钥的长度.18 6.1.6. 公钥参数的生成和质量检查.19 6.1.7. 密钥使用目的.19 6.2. 私钥保护和密码模块工程控制.19 6.2.1. 密码模块标准和控制.19 6.2.2. 私钥的多人控制.19 6.2.3. 私钥托管.19 6.2.4. 私钥备份.19 6.2.5. 私钥归档.19 6.2.6. 私钥导入或导出密码模块.20 数字认证公司事件型证书策略 6.2.7. 私钥在密码模块中的存储.20 6.2.8. 激活私钥的方法.20 6.2.9. 解除私钥激活状态的方法.20 6.2.10. 销毁密钥的方法.20 6.2.11. 密码模块的评估.20 6.3. 密钥对管理的其他方面.20 6.3.1. 公钥归档.20 6.3.2. 证书操作期和密钥对使用期限.21 6.4. 激活数据.21 6.5. 计算机安全控制.21 6.5.1. 特别的计算机安全技术要求.21 6.5.2. 计算机安全要求.21 6.6. 生命周期技术控制.21 6.6.1. 系统开发控制.21 6.6.2. 安全管理控制.21 6.6.3. 生命周期的安全控制.22 6.7. 网络的安全控制.22 6.8. 时间戳.22 7. 证书格式.23 7.1. 证书.23 7.1.1. 版本号.23 7.1.2. 算法对象标识符.23 7.1.3. 名称形式.23 7.1.4. 证书扩展项.23 8. 电子认证服务机构审计和其他评估.25 8.1. 评估的频率或情形.25 8.2. 评估者的资质.25 8.3. 评估者与被评估者之间的关系.25 8.4. 评估内容.25 8.5. 对问题与不足采取的措施.25 8.6. 评估结果的传达与发布.25 9. 法律责任和其他业务条款.26 数字认证公司事件型证书策略 1. 引言 1.1. 概述 北京数字认证股份有限公司 (Beijing Certificate Authority Co.,Ltd., 以下简称 数字认证公司)于2001 年2月开始运营,是权威、公正的电子认证服务机构. 数字认证公司严格按照《中华人民共和国电子签名法》和《电子认证服务管理办 法》的要求,以及相关管理规定,提供数字证书申请、颁发、存档、查询、废止 等服务,并通过以 PKI 技术、数字证书应用技术为核心的产品和服务,为电子 活动提供可信身份、可信时间和可信行为的网络信任环境. 事件型数字证书是面向即时业务或者特定业务场景, 数字认证公司所设计的 一类基于事件型证书专利技术的特殊数字证书. 事件型数字证书一般用于一次性 事件型数字签名,签名过后私钥销毁,保证各签名参与主体的身份真实性、信息 的完整性以及签名行为的不可抵赖性. 证书策略(Certification Policy,以下简称 CP)是关于电子认证服务机构制 订的一组规则, 表明证书对特定群体的适用范围,或对不同安全需求类型的适用 规则. 本《北京数字认证股份有限公司事件型证书策略》(以下简称《事件型证书 策略》)满足互联网标准组织制定的 RFC3647《互联网 X.509 公钥基础设施-证 书策略和证书业务声明框架》,以及国内标准 GB/T 26855-2011《信息安全技术 公钥基础设施证书策略与认证业务声明框架》的框架和内容要求.本《事件型证 书策略》适用范围为数字认证公司发放的事件型证书.具体设定了证书策略、生 命周期、使用、依赖和管理的角色、责任与要求,以及各相关主体的职责.为批 准、签发、管理和使用证书和相关的可信服务制定业务,提供技术、策略和法律 上的要求和规范. 1.2. 文档名称与标识 本文档的名称为《北京数字认证股份有限公司事件型证书策略(CP2)》, 简称 《事件型证书策略》 , 本证书策略 CP 的对象标识符为: 1.2.156.112562.2.2.2. 1.3. PKI 参与者 1.3.1.电子认证服务机构 数字认证公司是根据《中华人民共和国电子签名法》、《电子认证服务管理 数字认证公司事件型证书策略 办法》规定,依法设立的第三方电子认证服务机构(简称:CA 机构). CA 机构是受用户信任,负责创建和分配公钥证书的权威机构,是颁发数字 证书的实体. 1.3.2.注册机构 注册机构作为电子认证服务机构授权委托的下属机构, 包括注册系统 (简称: RA 系统)和证书本地受理点,负责受理证书申请. 1.3.3.订户 订户是从 CA 机构接收数字证书的实体.在电子签名应用中,订户即为电子 签名人. 1.3.4.依赖方 依赖方是依赖于证书真实性的实体.在电子签名应用中,即为电子签名依赖 方.依赖方可以是、也可以不是一个订户.在本业务中,是信任数字认证公司签 发的事件型证书,可以对使用事件型证书机制进行的数字签名验证的实体. 1.3.5.其他参与者 其他参与者指为 CA 证书服务体系提供相关服务的其他实体. 1.4. 证书应用 1.4.1.适合的证书应用 本CA 机构签发的事件型证书适合应用在企业信息化、 电子政务和电子商务 等领域,用于证明订户在电子化环境中所进行的电子签名行为. 1.4.2.限制的证书应用 本CA 机构发放的数字证书禁止在违反国家法律、 法规或破坏国家安全的情 况下使用,由此造成的法律后果由订户负责. 数字认证公司事件型证书策略 1.5. 策略管理 1.5.1.策略文档管理机构 本《事件型证书策略》的管理机构是数字认证公司 CPS 策略管理委员会. 由数字认证公司 CPS 策略管理委员会负责本《事件型证书策略》的制订、发布、 更新等事宜. 本《事件型证书策略》由北京数字认证股份有限公司拥有完全版权. 1.5.2.联系人 本《事件型证书策略》在数字认证公司网站发布,对具体个人不另行通知. 网站地址:http://www.bjca.cn 电子邮箱地址:[email protected] 联系地址: 北京市海淀区北四环西路