语音播报
中国金融认证中心(CFCA)
电子认证业务规则(CPS)
V2.2
版权归属中国金融认证中心
(任何单位和个人不得擅自翻印)
2009年09月
1概括性描述
1.1 概述
中国金融认证中心,即中金金融认证中心有限公司(China Financial Certification Authority,英文简称CFCA),于2000年6月29日正式挂牌成立,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可资质的CA之一。
电子认证业务规则(CPS,Certification Practice Statement)是关于认证机构(CA,Certification Authority)在全部数字证书(以下简称证书)服务生命周期(如签发、吊销、更新)中的业务实践所遵循规范的详细描述和声明,是对相关业务、技术和法律责任方面细节的描述。
本文档的编写遵从IETF RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework,公钥基础设施证书策略和证书运行框架)、十届全国人大常委会表决通过的并于2005年4月1日正式实施的《中华人民 共和国电子签名法》、国家密码管理局颁布的《证书认证系统密码及相关安全技术规范》、《电子认证服务密码管理办法》,中华人民共和国工业和信息化部编写并审议通过的《电子认证服务管理办法》、《电子认证业务规则规范(试行)》及CA的一般运作规范。
1.2文档名称与标识
此文档的名称为《CFCA电子认证业务规则》,但目前没有注册对象标识符。
1.3 电子认证活动参与者
本文中所包含的电子认证活动参与者有:电子认证服务机构、注册机构、订户、依赖方以及其它参与者,下面将分别进行描述。
1.3.1电子认证服务机构
CA承担证书签发、更新、吊销、密钥管理、证书查询、证书黑名单(又称证书吊销列表或CRL)发布、政策制定等工作。
CFCA的证书认证系统设在CFCA本部,不直接面对订户。它是一个树状结构,由根CA、运营CA组成。根CA是运营CA的根结点,它负责向国内外顶级电子认证领域扩展信用范围,运营CA则负责根据本CPS的要求,向最终订户发放证书。
按照证书的功能及申请证书的订户不同,CFCA提供以下证书类型:
个人普通证书——面向个人订户,在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。个人普通证书只使用一套密钥对,即签名/验签密钥对。
企业普通证书——面向机构订户,在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。企业普通证书只使用一套密钥对,即签名/验签密钥对。
个人高级证书——面向个人订户,用于实现个人在网上信息传递过程中安
全级别较高的身份验证、信息加密和数字签名等功能。个人高级证书使用两套密钥对,一对为加/解密密钥对,另一对为签名/验签密钥对。
企业高级证书——面向机构订户,用于实现机构在网上信息传递过程中安全级别较高的身份验证、信息加密和数字签名等功能。企业高级证书使用两套密钥对,一对为加/解密密钥对,另一对为签名/验签密钥对。
Web server证书——面向机构或个人订户,安装在订户的Web服务器中,在Web服务器和浏览器之间提供身份验证、信息加密等功能。
设备证书——设备证书中包含设备信息、公钥及CFCA的签名,在网络通讯中用以标识和验证设备的身份。
代码签名证书——面向机构或个人订户,主要颁发给软件开发商,主要功能是让订户了解软件代码发行方的身份,并且防止被篡改。
按照证书在发放给订户之前是否为预先生成,可分为以下证书类型:
预植证书:预植证书是指由CFCA按照预先确定好的规则定义证书DN后,在安全的存储介质(如USBKey)中生成并植入的数字证书;订户申领该证书时,发证机构须对订户的身份进行审核,将证书的DN信息与订户的身份信息绑定,并与应用系统进行关联。当预植证书与订户身份信息的绑定信息经发证机构和CFCA数字签名确认后,该预植证书方可生效。
非预植证书:预植证书以外的证书均可称为非预植证书。
由于预植证书的特殊性,CFCA制订了专门的预植证书策略(CP)来规范预植证书服务生命周期(如签发、吊销、更新)中所遵循的业务规则。除非特别说明,本CPS中的第3、4章节均只涉及非预植证书类型,本CPS的阅读者若需查阅与预植证书相对应的业务规则,请参考《CFCA预植证书策略》。
1.3.2注册机构
注册机构RA(Registration Authority)负责订户证书的申请受理、审批和管理,直接面向证书订户,并负责在订户和CA之间传递证书管理信息。
RA系统一般为两层结构,分为RA服务器和RA受理点LRA。LRA是面向最终订户的注册机构,其主要功能是对订户提交的资料进行审核,以决定是否同意为该订户发放证书以及进行证书管理。LRA的证书签发和管理请求由RA服务器转发给CA。RA服务器负责安全地在订户和CA服务器之间交换数据。
RA的建设与运营应遵循《CFCA RA建设管理办法》、《CFCA注册机构运营规范》之规定以及与CFCA签署的相关协议。
1.3.3订户
订户指使用CFCA证书的所有终端订户,在电子签名应用中,订户即为电子签名人。
需要明确的是,证书订户与证书主体是两个不同的概念。“证书订户”是指向CFCA申请证书以保证信息机密性的实体,“证书主体”是指与证书信息绑定的实体,它可以是个人、机构、基础设施(如防火墙、路由器)、受信任的服务器或用于确保与某一机构安全通信的其它设施。证书订户需要承担相应的义务与责任,而证书主体则是证书所要证明的可信赖方。
1.3.4依赖方
依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是订户。
1.3.5其它参与者
在电子认证活动中除了电子认证服务机构(CFCA)、注册机构、订户和依赖方以外的参与者称为其它参与者。
1.4 证书应用
1.4.1适合的证书应用
CFCA的数字证书适合应用在网上银行、电子商务、电子政务、企业信息化、网上信息传递以及公共服务等各领域,为建设网络信任环境提供基础性信任服务,详情请咨询400-880-9888。
1.4.2限制的证书应用
CFCA的数字证书不能在如下方面使用:
1、任何与国家或地方法律、法规规定相违背的应用系统;
2、CFCA不认可的证书应用系统。
1.5策略管理
1.5.1策略文档管理机构
CPS的制定与修订由CFCA业务部负责并牵头组成“CPS编写组”,办公室、市场部、运行部、技术支持部、开发部派人参加。总经理也可以根据需要临时设立“CPS编写组”,并指定编写组负责人。
1.5.2联系方式
如对本CPS有任何疑问,请联系:
部门:业务部
电话:010-83526220
传真:010-63555032
地址:中国北京宣武区右安门内新安南里甲1号
1.5.3决定CPS符合策略的机构
总经理审批同意后,方可对外发布CPS。发布形式应符合行业主管部门等相关主管部门的要求。
1.5.4 CPS批准程序
“CPS编写组”负责起草或修订CPS形成讨论稿(或CPS修订内容),并征求公司领导和各部门负责人意见,经讨论、修改达成一致意见后形成送审稿。
“CPS编写组”负责将CPS送审稿提交公司法律顾问审阅。在取得法律顾问的意见书后,“CPS编写组”将经法律顾问审阅过的CPS送审稿连同法律顾问的意见书提交业务部,由业务部确定CPS文本格式和版本号,形成定稿。
CPS定稿经业务部分管领导审阅后,报总经理审批。总经理审批同意后,方可对外发布CPS。发布形式应符合行业主管部门等相关主管部门要求,包括但不限于网站公布和向客户或合作对象书面提交。发布工作由业务部协调相关部门完成,并将CPS电子版和法律顾问的意见书交办公室存档。
CPS的网上发布遵照《网站管理办法》执行。自CPS发布之日起,所有以各种形式对外提供的CPS必须与网站公布的CPS保持一致。业务部负责自发布之日起20天内向行业主管部门报备。
1.6 定义和缩写
见附录B《定义和缩写》
2信息发布与信息管理
2.1 信息库
CFCA信息库是一个对外公开的信息库,它能够保存、取回证书及与证书有关的信息。CFCA信息库包括但不限于以下内容:证书、CRL、OCSP、CPS、CP、证书服务协议、技术支持手册、CFCA网站信息以及CFCA不定期发布的信息。CFCA信息库不会对从CFCA发出的任何证书和证书吊销信息进行修改,而只会准确地描述上述内容。
2.2认证信息的发布
CFCA根据X.509标准在信息库上公布证书的相关信息,并发布证书和CRL,同时也提供OCSP实时证书状态查询功能。
CPS以及相关业务规则在CFCA网站上发布。
2.3 发布的时间或频率
CPS、CP以及相关业务规则在完成1.5.4所述的批准流程后的15个工作日内发布到CFCA网站上;订户的证书信息实时发布到信息库上;CFCA将在证书吊销后一小时内在信息库上更新CRL,根据需要,也可以人工方式实时发布最新CRL。
2.4 信息库访问控制
CFCA的安全访问控制机制确保只有经过授权的人员才能编写和修改信息库中的信息,但不限制对这些信息的阅读权。CPS经由“CPS编写组”编写定稿,并经总经理审核通过后,颁布在CFCA网站上(http://www.cfca.com.cn)供访问者自由浏览。
3 身份识别与鉴别
3.1 命名
3.1.1名称类型
CFCA签发的证书采用X500定义的甄别名称(DN)标准来唯一标识一张证书使用者的身份信息。DN的详细说明见本CPS的7.1.4。
3.1.2对名称意义化的要求
DN(Distinguished Name):唯一甄别名,在数字证书的主体名称域中,用来唯一标识订户的X.500名称。此域需要填写反映订户真实身份的、具有实际意义的、与法律不冲突的内容。
3.1.3订户的匿名或伪名
使用匿名的订户提交的证书申请材料由于不符合要求,将无法通过RA的审核,也无法获得证书和服务。使用伪名或伪造材料申请的证书无效,一经证实立即予以吊销。
3.1.4解释不同名称形式的规则
DN的命名规则由CFCA定义,详见本CPS 7.1.4的说明。
3.1.5名称的唯一性
CFCA保证订户的DN是唯一的。同一个订户申请多张证书时,各证书通过
顺序号加以区别。
3.1.6商标的识别、鉴别和角色
订户应向CFCA保证(承诺)并向RA及证书依赖方声明,申请证书时所提供的信息未以任何方式侵犯或违反第三者的注册商标权、服务商标权、商用名称权、公司名称权或任何其它知识产权。
3.2 初始身份确认
3.2.1证明拥有私钥的方法
证明订户拥有私钥的方法是通过pkcs#10的数字签名来完成的。订户签名私钥(private key)由订户在订户端生成,订户发出的数据包中包含用签名私钥进行的数字签名,其他各方用对应的验证公钥可以验证这个签名。因此,订户被视作其签名私钥的唯一持有者。在订户委托CA机构或其他可信服务商代替订户生成密钥对的情况下,也可以认为订户是其签名私钥的唯一持有者。CFCA 要求订户妥善保管自己的签名私钥。
3.2.2组织机构身份的鉴别
组织机构订户在证书申请前应指定并授权证书的申请代表,并接受证书申请的有关条款,承担相应的责任。鉴别组织机构的身份时,指定证书申请者须向RA审核人员提供有效证明文件,在填写申请表时加盖企业公章以证明该申请的有效性。如该机构申请Webserver证书,还需向注册机构提交相关域名或IP 地址及拥有该域名或IP地址的证明。
CFCA授权的注册机构将复核并验证申请文件的真实性,并进行批准申请或拒绝申请的操作。
3.2.3个人身份的鉴别
个人订户持个人有效身份证件,包括:身份证、军官证、士兵证、护照、武装警察身份证、户口本、港澳居民往来内地通行证、台湾居民往来内地通行证等(以上可任择其一),提出证书申请,并接受证书申请的有关条款(见证书申请表),承担相应的责任。
CFCA授权的注册机构将复核并验证申请文件的真实性,并进行批准申请或拒绝申请的操作。
3.2.4没有验证的订户信息
无。
3.2.5授权确认
当申请者代表个人或组织机构申请证书时,需要出示足够的证明信息以证明个人或组织机构是否真实存在,申请者是否已获得个人或组织机构的授权。CFCA或注册机构有责任确认该授权信息,并将授权信息妥善保存。
3.2.6互操作准则
无。
3.3 密钥更新请求的标识与鉴别
在订户证书到期后,订户需要对原有证书进行更新。CFCA要求普通证书的订户产生一个新的密钥对代替过期的密钥对,称作“密钥更新”。在密钥更新时,订户证书的DN没有改变。
若订户为一个现存的密钥对申请一个新证书,则称为“证书更新”。
3.3.1常规密钥更新的标识与鉴别
CFCA需要订户提供书面申请进行密钥更新操作,密钥更新的同时证书也进行更新,订户更新密钥的流程详见本CPS的4.7。
3.3.2吊销后密钥更新的标识与鉴别
证书吊销后的密钥更新等同于订户重新申请证书,订户证书吊销后的密钥更新处理流程见本CPS的4.2。
3.4 吊销请求的标识与鉴别
满足4.9.1节“证书吊销条件”的情况时,注册机构应当审核吊销申请者的书面申请材料和证书DN信息,在审核通过的情况下由注册机构进行吊销操作。证书吊销请求的标识与鉴别流程见本CPS的4.9.3。
4 证书生命周期操作要求
4.1 证书申请
4.1.1证书申请实体
任何自然人、具有独立法人资格的企事业单位、社会团体等各类组织机构需要在应用中进行基于数字证书的身份鉴别、需要采用数字签名及实现信息加密时,可向CFCA或其授权的注册机构提出证书申请。
个人证书由证书使用者本人提出申请;企业证书由企业、组织机构授权的人员申请;Web server证书由域名拥有机构或个人、或被授权使用该域名的机构中的被授权人申请;代码签名证书由软件开发者本人或软件开发商授权的人员提出申请。
4.1.2注册过程与责任
4.1.2.1 最终订户
最终订户须明确表示其愿意接受订户协议中所规定的相关责任与义务(如本CPS9.6.3所述),并需要完成以下注册过程:
z填写证书申请表,并提供真实、准确的申请信息;
z生成或委托生成密钥对;
z将其公钥通过注册机构或直接传送至CA;
z证明其拥有与传送至CA的公钥相对应的私钥。
4.1.2.2 注册机构
注册机构须与CFCA签订相关协议并同意遵守《CFCA注册机构运营规范》,并需提供相关的身份证明材料及联系信息。在签订协议的过程中,或在产生RA 密钥对之前,注册机构须与CFCA共同商定合适的DN名称及证书内容。
4.2 证书申请处理
4.2.1执行识别与鉴别功能
证书申请者向注册机构提交证书申请后,注册机构对以下申请材料进行检查:
机构订户:参照3.2.2节的规定。
个人订户:参照3.2.3节的规定。
注册机构需要审查订户的证书申请表格是否按照要求填写、申请材料是否齐全、资质证明材料是否符合要求(如机构订户是否在申请表上加盖公章)。详细要求请参见《CFCA注册机构运营规范》。
4.2.2证书申请批准和拒绝
注册机构对证书申请者提交的申请信息及身份信息进行鉴别,鉴别其是否完整、真实、有效。经鉴别符合要求后,将批准申请。如果申请者未能通过审核,注册机构将拒绝申请者的申请,并通知申请者;对于未通过审核的原因,注册机构可以不予解释。
4.2.3处理证书申请的时间
CFCA及注册机构将在合理的时间内完成证书申请处理。在申请者提交的资
料齐全且符合要求的情况下,处理证书申请的时间不超过5个工作日。
4.3 证书签发
4.3.1证书签发中注册机构和电子认证服务机构的行为
注册机构将客户信息录入系统,通过基于SPKM协议的安全通道发送至CFCA。CFCA将生成订户下载证书用的凭证,同时将证书下载凭证返回注册机构。注册机构以安全的形式将证书下载凭证提交证书申请者。
CFCA负责验证注册机构的身份与权限,根据注册机构提交的申请信息向注册机构返回申请者下载证书用的凭证。
4.3.2电子认证服务机构和注册机构对订户的通告
无论是拒绝还是批准订户的证书申请,注册机构有义务告知订户申请结果。
订户申请批准后,注册机构将下载证书用的凭证以安全的方式提交订户,同时注册机构有义务告知订户在CFCA规定的时间内(即14天内)下载证书。
4.4 证书接受
4.4.1构成接受证书的行为
证书申请者收到证书下载凭证后,应在14天内登录相关网站下载数字证书。证书下载完成后视为已经接受证书。如果订户在14天内没有进行证书下载操作,证书下载凭证将失效;如果订户在下载证书时发生错误,没有得到证书,而系统记录显示订户下载成功,也同样视为客户已经接受证书(CFCA技术支持
人员有义务协助客户正确地获取证书)。
4.4.2电子认证服务机构对证书的发布
CFCA在签发证书的同时会将该证书发布到对外信息库上进行公开。
4.4.3电子认证服务机构对其他实体的通告
对于CFCA签发的证书,CFCA和RA不对其他实体进行通告,订户和依赖方可以在信息库上自行查询。
4.5 密钥对和证书的使用
4.5.1订户私钥和证书的使用
订户在使用私钥和证书时须遵循以下约定:
1、订户只能在规定的范围内(在本CPS1.4.1节定义)使用私钥和证书,
并对使用行为承担责任;
2、订户在使用证书时必须遵守《CFCA数字证书服务协议》及本CPS的要
求;
3、订户应当妥善保存其私钥,避免他人未经本人授权而使用本人证书情
形的发生。在证书到期或被吊销后,订户应当停止使用该证书。
4.5.2依赖方公钥和证书的使用
在依赖方接受数字签名信息后需要:
1、获得数字签名对应的证书及信任链;
2、确认该签名对应的证书是依赖方信任的证书;
3、证书的用途适用于对应的签名;
4、使用证书上的公钥验证签名;
5、确认数字签名对应的证书状态正常,没有进入CRL列表。
依赖方需要采用合适的软(硬)件进行数字签名的验证工作,包括验证证书链及链中所有证书的数字签名。
4.6证书更新
证书更新是指订户在不改变现有公钥或其它证书信息的情况下申请一张新证书。目前只对高级证书提供该项服务。
4.6.1证书更新的情形
在证书有效期内,高级证书订户的旧加密密钥丢失或损坏的情况下可以申请证书更新。
4.6.2请求证书更新的实体
个人高级证书由证书使用者本人提出申请;企业高级证书由企业、组织机构授权的人员申请。
4.6.3 证书更新请求的处理
订户向注册机构提交证书更新申请后,注册机构对以下申请材料进行检查: 机构订户:参照3.2.2节的规定。
个人订户:参照3.2.3节的规定。
注册机构需要审查订户的证书申请表格是否按照要求填写、申请材料是否齐全、资质证明材料是否符合要求(如机构订户是否在申请表上加盖公章)。
注册机构对订户提交的申请信息及身份信息进行完整性、准确性、真实性的鉴别(详见《CFCA注册机构运营规范》,经鉴别符合要求后,将批准申请。如果订户未能通过审核,注册机构将拒绝订户的申请。
注册机构将证书更新请求通过基于SPKM协议的安全通道发送至电子认证服务机构。电子认证服务机构将生成订户下载证书用的凭证,同时将证书下载凭证返回注册机构,注册机构以安全的方式将证书下载凭证提交订户。
电子认证服务机构负责验证注册机构的身份与权限,根据注册机构提交的申请信息向注册机构返回申请者下载证书用的凭证。
4.6.4 颁发新证书时对订户的通告
同本CPS4.3.2之规定。
4.6.5构成接受更新证书的行为
证书申请者收到证书下载凭证后,应在14天内登录相关网站下载数字证书。证书下载完成后视为已经接受证书。如果订户在14天内没有进行证书下载操作,证书下载凭证将失效;如果订户在下载证书时发生错误,没有得到证书,而系统记录显示订户下载成功,也同样视为客户已经接受证书(CFCA技术支持人员有义务协助客户正确地获取证书。)
4.6.6电子认证服务机构对更新证书的发布
同本CPS4.4.2之规定。
4.6.7电子认证服务机构对其它实体的通告
同本CPS4.4.3之规定。
4.7证书密钥更新
证书密钥更新是指订户需要生成新密钥并申请为新公钥签发新证书。
4.7.1证书密钥更新的情形
证书密钥更新有两种情况:补发和换发。补发和换发时,证书DN均不改变。
补发是指在证书有效期内,订户更新证书(密钥)的操作,补发操作成功时,旧证书立即被吊销,新证书有效期从补发成功之日起到旧证书失效日止。
以下情况订户需要申请证书补发:
1、订户忘记或泄漏了证书使用口令;
2、订户证书(文件)丢失或损坏,例如存放证书的介质损坏;
3、订户认为原有证书和密钥不安全(例如订户怀疑证书被盗用或密钥受
到了攻击)。
换发是指在证书将要过期的三个月内或证书过期后,订户申请更换证书(密钥)的操作,换发操作成功时,旧证书立即被吊销。
此外,根据订户的特殊要求,在换发过程中旧证书的吊销可以存在一定的过渡期,在此过渡期内,旧证书仍然可以使用,但过渡期最长不超过30天,待
过渡期结束后旧证书被吊销。在换发存在过渡期的情况下,由于在过渡期内新旧证书均可使用,订户应当妥善保管其持有的两张证书,防止未被授权的使用。由于只对换发业务提供过渡期策略,CFCA或注册机构在进行证书密钥更新处理时应当严格区分换发与补发业务,防止策略的误用。
以下情况订户需要申请证书换发:订户证书到期或已经过期。
新证书有效期将从证书换发之日起加一个证书有效周期(已经过期的证书换证,其有效期仅为证书有效期)。
4.7.2请求证书密钥更新的实体
请求证书密钥更新的实体与本CPS4.1.1中的证书申请实体相同。
4.7.3证书密钥更新请求的处理
订户向注册机构提交密钥更新申请后,注册机构对以下申请材料进行检查: 机构订户:参照3.2.2节的规定。
个人订户:参照3.2.3节的规定。
注册机构需要审查订户的证书申请表格是否按照要求填写、申请材料是否齐全、资质证明材料是否符合要求(如机构订户是否在申请表上加盖公章)。
注册机构对订户提交的申请信息及身份信息进行完整性、准确性、真实性的鉴别(详见《CFCA注册机构运营规范》),经鉴别符合要求后,将批准申请。如果订户未能通过审核,注册机构将拒绝订户的申请。
注册机构将密钥更新请求通过基于SPKM协议的安全通道发送至CFCA。CFCA
将生成订户下载证书用的凭证,同时将证书下载凭证返回注册机构,注册机构以安全的方式将证书下载凭证提交订户。
CFCA负责验证注册机构的身份与权限,根据注册机构提交的申请信息向注册机构返回申请者下载证书用的凭证。
4.7.4颁发新证书时对订户的通告
颁发新证书时对订户的通告同本CPS第4.3.2节的规定。
4.7.5构成接受密钥更新证书的行为
构成接受密钥更新证书的行为同本CPS第4.4.1的规定。
4.7.6电子认证服务机构对密钥更新证书的发布
CFCA在签发密钥更新证书的同时会将证书发布到对外信息库上进行公开;同时将旧证书序列号发布到CRL列表中。
4.7.7电子认证服务机构对其他实体的通告
对于其签发的证书,CFCA及其RA不对其他实体进行通告。
4.8 证书变更
无。
4.9证书吊销和挂起
4.9.1证书吊销的情形
如有下列情况中的任何一种情况发生,则订户的证书将被吊销:
1)订户申请证书时,提供的资料不真实;
2)订户未履行证书服务协议约定的义务;
3)订户书面申请吊销数字证书;
4)证书的安全性不能得到保证,如相信或怀疑密钥泄漏或遭受攻击,忘记或泄漏了证书使用口令,存放证书的介质损坏或被锁定等;
5)法律、行政法规规定的其他情况。
吊销分为主动吊销和被动吊销。主动吊销是指由订户提出吊销申请,由发证机构审核通过后吊销证书的情形;被动吊销是指当发证机构或CA确认订户违反证书应用规定、约定或订户主体已经消亡等情况发生时,采取吊销证书的手段以停止对该证书的证明。当出现上述提到的第1、2种情况时,适用于被动吊销,第3种情况适用于主动吊销,第4、5种情况则既可能出现被动吊销,也可能出现主动吊销。
4.9.2请求证书吊销的实体
在符合本CPS4.9.1所述的情形下,请求证书吊销的实体与本CPS4.1.1证书申请实体相同。
另外,注册机构或CFCA也可以在本CPS4.9.1所述的情形下主动吊销订户的证书。
4.9.3请求吊销的流程
1、当最终订户吊销证书时可按以下流程进行:
1)订户(或其授权委托人)填写书面申请表并签名或盖章,同时提交合法
的证明材料,向CFCA或注册机构提出吊销证书请求。
2)CFCA或接到吊销申请的注册机构,验证申请者身份及吊销理由的正当
性,并对审核资料书面归档。
3)CFCA或证书注册机构在验证吊销申请后吊销证书。
4)CFCA及时将证书吊销信息发布到CFCA信息库。
2、当RA提出吊销证书时,需要正式向CFCA提出吊销请求,由CA完成吊销操作。CFCA也可以根据情况主动吊销RA发放的证书。该RA应将由其保管的订户信息在五个工作日内完整地移交给CFCA。
4.9.4吊销请求宽限期
订户一旦发现需要吊销证书,应及时向发放该证书的注册机构提出吊销请求。
4.9.5电子认证服务机构处理吊销请求的时限
CFCA或其授权的注册机构收到吊销请求并审核完成后,会立即将证书吊销。
说明:订户在正式提出证书吊销申请后不得在交易中继续使用此证书,否则由此产生的后果,由订户自行承担。订户在正式提出证书吊销申请后必须立即将此情况通知与此证书相关的依赖方,以便在交易中停止使用该张证书,否
则由此产生的后果,由订户自行承担。
4.9.6依赖方检查证书吊销的要求
依赖方应当检查他们所信任的证书是否被吊销。检查方式是通过查询CFCA 发布的CRL完成。
4.9.7CRL发布频率
CRL发布频率为1小时一次,在发布的同时对原有内容进行更新。
4.9.8CRL发布的最大滞后时间
CFCA在生成CRL的1小时后会更新信息库。
4.9.9在线的吊销/状态查询的可用性
CFCA提供在线的吊销/状态查询,该服务7X24小时可用。
4.9.10 在线的吊销查询要求
依赖方在信赖一张证书前必须对此证书进行证书状态查询,查询方式为检查CRL或OCSP,CFCA没有设置任何读取权限。
4.9.11 吊销信息的其他发布形式
除CRL与OCSP之外,尚无其它发布形式。
4.9.12 对密钥遭攻击的特别处理要求
当订户发现、或有充足的理由发现其密钥遭受安全威胁时,应及时地提出证书吊销请求。
当CFCA发现、或有充足的理由相信根密钥泄漏时,CFCA将会主动、及时地吊销证书,并通知订户。
4.9.13 证书挂起
CFCA目前无此业务。
4.10证书状态服务
4.10.1操作特征
证书状态可以通过LDAP目录查询和OCSP查询服务获得。
4.10.2服务可用性
CFCA提供7X24小时不间断证书状态查询服务。
4.11订购结束
以下三种情形将被视为订购结束:
1、证书到期后即视为订购结束。
2、在证书有效期内,订户主动提出对证书进行吊销视为订购结束,CFCA将
按照“证书吊销流程”处理订户申请。
3、被动吊销视为订购结束。
4.12密钥生成、备份与恢复
对于普通证书:
为保证订户密钥的安全性和唯一性,CFCA建议订户自己生成密钥对并进行备份,在私钥丢失或被怀疑泄漏后,需及时申请密钥更新。在订户委托CFCA 或其它可信服务商代替生成密钥对的情况下,CFCA会从技术和制度上保证被委托方不会留存私钥的备份。
对于高级证书:
高级证书订户的加/解密密钥对由国家设立的专门密钥管理机构(KMC,密钥管理中心)生成、备份和恢复。目前KMC托管在CFCA,系统每天对数据进行备份。签名/验签密钥对由订户自己产生。
5认证机构设施、管理和操作控制
5.1 物理控制
系统的物理安全和环境安全是整个CFCA系统安全的基础,它包括基础设施的管理、周边环境的监控、区域访问控制、设备安全及灾难预防等各方面。为保证CFCA系统物理环境的安全可靠,CFCA系统被放置于安全稳固的建筑物内并具备独立的软硬件操作环境,充分考虑了水患、火灾、地震、电磁干扰与辐射、犯罪活动以及工业事故等的威胁。
5.1.1场地位置与建筑
CFCA CA系统的运营机房位于北京市海淀区中关村软件园区22号楼(中国银联北京信息中心楼内)内,进入机房须经过三道审核,机房电磁屏蔽指标达到国家BMB3 B级标准。机房具备抗震、防火、防水、恒湿温控、独立供电、备用发电、门禁控制、视频监控等功能,可保证认证服务的连续性和可靠性。 5.1.2物理访问
外来人员进入楼内,需经过中国银联北京信息中心、CFCA两道的审核,进入CFCA办公区域要经过三道门禁系统,需要有CFCA工作人员陪同进入。
操作人员进入CFCA综合机房,须经过指纹认证加门禁授权卡身份认证,并有24小时视频监控设备进行监控。
操作人员进入安全区机房,须经过三道门禁系统,其中两道是双人指纹加门禁卡认证,一道是双人门禁卡认证,并且所有门禁的进出信息都会在监控室的安保系统中记录。
5.1.3电力与空调
CFCA上地机房采用银联提供的UPS供电,由两组每组两台共四路独立UPS 线路供电,任何一台UPS出现故障,均能保证系统供电持续运行30分钟以上。为了保证系统的可靠运行,银联还备有柴油发电机,当外部供电中断时,能够继续对UPS实施供电。
CFCA机房采用多台中央空调和新风设备,保证机房内温度和湿度达到国家标准(GBJ19-87《采暖通风与空气调节设计规范》、GB50174-93 《电子计算机
机房设计规范》)。
5.1.4 水患防治
CFCA有专门的技术措施防止、检测漏水的出现,并能够在出现漏水时最大程度地减小漏水对认证系统的影响。
5.1.5火灾防护
CFCA机房采用防火材料建设,安装有中央防火监控和自动气体消防系统,并通过了国家权威部门的消防功能验收,能有效地避免火灾威胁。
5.1.6介质存储
CFCA CA系统使用的存储介质被放置在防磁、防静电干扰的环境中,并处于24小时录像监控下,可以防止由于环境变化和人为故意产生的危害和破坏。
5.1.7废物处理
敏感的文件资料(包括纸介质、光盘或软盘废物等)抛弃前要进行粉碎处理;对于存储或传输信息的介质,在抛弃前要做不可读取处理;加密设备在抛弃前要根据生产商的指导做归零处理。
5.1.8异地备份
暂无,CFCA正在筹划当中。
5.2 程序控制
5.2.1可信角色
CFCA的可信角色包括:
客户服务人员
安全管理人员
密钥与密码设备管理人员
加密设备操作人员
系统管理人员
人力资源管理人员
5.2.2 每项任务需要的人数
CFCA制定了规范的策略,严格控制任务和职责的分割,对于最敏感的操作,例如访问和管理CA的加密设备及其密钥,需要3个可信角色。
其它操作,例如发放证书,需要至少2个可信角色。
CFCA对于人员有明确的分工,贯彻互相牵制、互相监督的安全机制。 5.2.3每个角色的识别与鉴别
CFCA在雇佣一个可信角色之前将会按照本CPS第5.3.2节的规定对其进行背景审查。
对于物理访问控制,CFCA通过门禁磁卡、指纹识别鉴别不同人员,并确定相应的权限。
CFCA使用数字认证和订户名/口令方式对可信角色进行识别与鉴别,系统将独立完整地记录所有操作行为。
5.2.4需要职责分割的角色
要求职责分割的角色包括(但不限于)以下几种:
安全管理员、系统管理员、网络管理员、操作员。
5.3 人员控制
5.3.1资格、经历和无过失要求
成为CFCA可信角色的人员必须提供相关的背景、资历证明,并具有足以胜任其工作的相关经验,且没有相关的不良记录。
5.3.2背景审查程序
CFCA在开始一个可信任角色的雇佣关系前会依据以下流程对其进行审查:
(1)应聘者应提交的个人资料
履历、最高学历毕业证书、学位证书、资格证及身份证等相关的有效证明。
(2)应聘者个人身份的确认
CFCA人力资源部门通过电话、信函、网络、走访、调阅档案等形式对其提供材料的真实性进行鉴定。
(3)三个月的试用期考核
通过现场考试、日常观察、情景考验等方式对其考察。
以上三方面的审查结果必须符合第5.3.1节中规定的要求。
(4)签署保密协议
与到岗人员签署保密协议。
(5)上岗工作
5.3.3培训要求
CFCA对录用人员按照其岗位和角色安排培训。培训内容有:PKI的相关知识、岗位职责、内部规章制度、认证系统软件、相关应用软件、操作系统与网络、ISO9000质量控制体系、CPS等。
5.3.4再培训周期和要求
CFCA每年至少向员工提供一次业务培训机会以不断提高其职业技能,以保持其完成工作所需要的职业水平。同时,当CA系统更新升级时也会对其员工进行相应的培训。
5.3.5工作岗位轮换周期和顺序
CFCA根据具体工作情况安排并制定员工工作岗位的轮换周期与顺序。 5.3.6 未授权行为的处罚
员工一旦被发现执行了未经授权的操作时,将被立即中止工作并受到纪律惩罚,其处理办法根据CFCA相关的管理规范执行。
5.3.7 独立和约人的要求
CFCA在雇用独立和约人时,会要求提供身份证等相关的身份有效证明,并与CFCA签署保密协议。
5.3.8提供给员工的文档
CFCA向其员工提供完成其工作所必须的培训和相关的文档。
5.4审计日志程序
5.4.1记录事件的类型
1、CA密钥生命周期内的管理事件,包括密钥生成、备份、恢复、归档和销毁。
2、RA系统记录的证书订户身份信息,包括企业(个人)姓名、证件号码、地址、邮箱、联系人等信息。
3、证书生命周期中的各项操作,包括证书申请、证书密钥更新、证书吊销等事件;
4、系统、网络安全记录,包括入侵检测系统的记录、系统日常运行产生的日志文件、系统故障处理工单、系统变更工单等;
5、人员访问控制记录;
6、系统巡检记录。
上述日志信息包括记录时间、序列号、记录的实体身份、日志种类等。
5.4.2 处理日志的周期
对于CA密钥和订户证书生命周期内的管理事件日志,CFCA每半年进行一次内部检查、审计。
对于系统安全事件和系统操作事件日志,CFCA每周进行一次检查、处理。
对于物理设施的访问日志,CFCA每月进行一次检查、处理。
5.4.3审计日志的保存期限
密钥和证书信息档案至少保存到证书失效后5年,审计文档至少保存1年。
5.4.4审计日志的保护
CFCA建立完善的管理制度,并采取物理和逻辑的控制方法确保只有经CFCA 授权的人员才能对审计日志进行操作。审计日志处于严格的保护状态,严禁未经授权的任何操作。
5.4.5审计日志备份程序
CFCA每天进行一次数据备份操作。
5.4.6审计收集系统
应用程序、网络和操作系统等都会自动生成审计数据和记录信息。
5.4.7对导致事件主体的通告
对于审计收集系统中记录的事件,对导致该事件的个人、机构等主体,CFCA
不进行通告。
5.4.8脆弱性评估
根据审计记录,CFCA定期进行系统、物理设施、运营管理、人事管理等方面的安全脆弱性评估,并根据评估报告采取措施。
5.5 记录归档
5.5.1归档记录的类型
CFCA归档记录的类型见本CPS的第5.4.1节。除此之外,对订户证书、CA 证书也进行归档。
5.5.2归档记录的保存期限
自证书期满或撤销之日起,记录将会保存至少5年以上。如果法律需要, CFCA将延长记录保存期限。
5.5.3归档文件的保护
CFCA根据本CPS的存档要求保护存档记录,确保只有被授权的可信任人员才允许访问存档数据,并通过适当的物理和逻辑访问控制防止对电子归档记录进行未授权的访问、修改、删除或其它操作。CFCA将使用可靠的归档数据存储介质和归档数据处理应用软件,确保归档数据在其归档期限内只有被授权的可信任人员才能成功访问。
5.5.4归档文件的备份程序
系统每天对证书信息全部进行备份,该备份数据采用物理隔离方式,与外界不发生信息交互。
5.5.5记录的时间戳要求
归档的记录都需要标注时间;系统产生的记录按照要求添加时间标识。 5.5.6归档收集系统
CFCA有自动的电子归档信息的存放系统。
5.5.7获得和检验归档信息的程序
只有被授权的可信人员才能获得归档信息。当归档信息被恢复后会对其完整性进行检验。
5.6 电子认证服务机构密钥更替
当CA密钥对的累计寿命超过第6.3.2中规定的最大有效期时,CFCA将启动密钥更新流程,替换已经过期的CA密钥对。CFCA密钥变更按如下方式进行:一个上级CA应不迟于其私钥到期之前60天停止签发新的下级CA证书(“停止签发日期”)。
产生新的密钥对,签发新的上级CA证书。
在“停止签发证书的日期”之后,对于批准的下级CA(或最终订户)的证书请求,将采用新的CA密钥签发证书。
上级CA将继续利用原来的CA私钥签发CRL直到利用原私钥签发的最后的证书过期为止。
5.7损坏与灾难恢复
5.7.1事故和损害处理流程
当CFCA遭到攻击、发生通讯网络故障、计算机设备不能正常提供服务、软件遭破坏、数据库被篡改等情况时,CFCA将根据其制订的《普通事件应急预案》、《CFCA系统故障报告与处理流程》、《CFCA CA签名私钥泄漏紧急预案》、《CFCA CA 签名私钥泄漏的紧急处理流程》等相关规章制度采取合理措施。
5.7.2计算资源、软件和/或数据的损坏
当计算资源、软件和/或数据受到破坏后,将依据《CFCA系统故障报告与处理流程》(保密)进行处理。
5.7.3实体私钥损害处理程序
当实体私钥发生泄漏时,CFCA将依据《CFCA CA签名私钥泄漏紧急预案》、《CFCA CA签名私钥泄漏的紧急处理流程》(以上为保密文档)进行处理。
5.7.4灾难后的业务连续性能力
CFCA正在考虑筹建异地灾备系统,以具备灾难后能迅速恢复业务的连续性能力。
5.8 电子认证服务机构或注册机构的终止
当CFCA及其RA需要停止其业务时,将会严格按照《电子认证服务管理办法》第四章(第二十三条至第二十七条)之规定执行。
6 认证系统技术安全控制
6.1密钥对的生成和安装
6.1.1密钥对的生成
1、CA签名密钥的生成
CA的签名密钥在加密机内部产生,加密机通过国家密码主管部门的批准和许可。在生成CA密钥对时,三名安全管理员必须同时到达CFCA最安全区,任何人无法独立完成操作。私钥不能以明文方式离开加密机。CA密钥的生成、保存和密码模块符合国家密码主管部门的要求,并通过了国家密码主管部门的鉴定。
2、RA密钥的生成
RA的签名私钥由自己产生,CFCA推荐使用加密机等硬件加密设备产生密钥,亦可使用软件产生密钥。RA的加密密钥由CA用软件产生。
3、订户密钥的生成
对于普通证书,签名密钥对在订户端产生,订户可以通过硬件或者软件产生签名私钥。订户可以自主选择国家密码主管部门批准的硬件设备生成签名密钥对,例如加密机、USB Key、智能卡等。订户在选择这些设备时应事先向CFCA 咨询有关系统兼容性事宜(可以在CFCA网站查询)。CFCA并不是硬件设备提供商,
不对由硬件设备造成的任何损失负责。
预植证书的密钥生成方式请见《CFCA预植证书证书策略》。
订户负有保护其私钥安全的责任和义务,并承担由此带来的法律责任。
对于高级证书:
高级证书订户的加/解密密钥对由国家设立的专门密钥管理机构(KMC,密钥管理中心)生成、备份和恢复。签名/验签密钥对由订户自己产生。
6.1.2私钥传送给订户
在订户委托CFCA或其它可信服务商代替生成密钥对的情况下,CFCA会从技术和制度上保证被委托方不会留存私钥的备份。私钥会通过离线或在线的安全方式传送给订户。
高级证书订户的加/解密密钥对由国家设立的专门密钥管理机构(KMC,密钥管理中心)生成,其中的私钥会通过离线或在线的安全方式传送给订户。6.1.3公钥传送给证书签发机构
订户通过与CFCA建立基于SPKM协议的安全通道把公钥发送给CFCA。 6.1.4电子认证服务机构公钥传送给依赖方
用于验证CFCA签名的验证公钥(证书链)可从CFCA的信息库获得。 6.1.5密钥的长度
CFCA完全遵从国家法律法规、政府主管机构等对密钥长度的明确规定和要
求,目前:
CFCA用于签名的RSA密钥长度为1024位;
注册机构用于签名和加密的RSA密钥长度为1024位;
订户产生的签名密钥长度为1024位;
订户产生的加密密钥长度为1024位;
6.1.6公钥参数的生成和质量检查
公钥参数由国家密码管理机构许可的加密设备生成,这些设备遵从国家密码管理机构的有关规范和标准,如对生成的公钥参数的质量检查标准,这些设备内置的协议、算法等均已达到足够的安全等级要求。
6.1.7密钥使用目的
CA私钥用于签发自身证书、下级CA证书、订户证书和CRL,CA的公钥用于验证私钥签名。
订户的签名密钥对可用于安全服务,例如身份认证、不可抵赖性和信息的完整性,加密密钥对可以用于信息加密和解密。
订户的签名密钥和加密密钥配合使用,可实现身份认证、授权管理和责任认定等安全机制。
6.2 私钥保护和密码模块工程控制
6.2.1密码模块标准和控制
密码模块(加密机)安置在CFCA核心区域,使用通过国家密码管理机构鉴