CAWebtrust规范中文版

CAWebtrust规范中文版 认证中心的网络信任担保标章 商业界人士和消费者都已经将注意力投向互联网～这使得越来越多的各类电子交易活动迅速发展。但是许多人认为～在消费者认为电子商务存在的风险已经降低到可以接受的程度之前～电子商务还不可能发挥出全部的潜力。消费者担忧电子商务的保密性、真实性、完整性～以及不可否认性的问题～这些担忧都是合理的。参与电子商务的各方都需要有一个客观的第三方担保。担保方可以是独立的、客观的执业人员～通过为认证中心的网站加盖网络担保标章来实现担保。 CA网络担保标章向潜在的证书信赖人显示了:一个有资质的执业人员已经评估了CA的业务表现和控制管理能力～以确定它们是否符合AICPA/CICA,美国执业会计师公会/ 加拿大特许会计师公会,的网络信任原则和认证标准,该执业人员还发布了无保留意见报告～表明在符合CA网络信任标准的情况下这些原则得到了遵守。参见附录A《执业人员报告示例》。这些原则和标准反映了CA组织或运行的基本规律。 作为职业担保人员的执业人员 最为人们所熟知的执业人员所提供的专门担保服务～是财务状况审计活动。一份由有资质的执业人员签字的审计意见书很有价值～因为这些专业机构在担保事务方面和财务会计事务方面都有相当丰富的经验～而且它们的独立、诚信、谨慎和客观的态度赢得了大家的公认。在提供服务时～专业机构还必须遵循一套全面的职业道德规范标准。然而～财务状况的审计工作只是一个执业人员可以提供的许多担保服务中的一种。专业机构还提供有关控制管理以及对特定标准的合规性问题的担保服务。 总体上讲～正因为有了商务职业经验～专业知识,电子商务信息系统的安全、保密、审计情况和控制工作,以及完成任务所必须的职业素养,独立、诚信、谨慎、客观,～执业人员同时能够全面客观的评估电子商务的风险、控制管理～并且公布与电子商务有关的商务活动事项。 认证中心的网络信任担保标章的获得和保留 担保过程 认证中心的管理层确保以下几条: 管理层评估了CA运作的控制工作。在该评估的基础之上～ABC认证中心 [地点]提供认证服务时～,ABC-CA,应在管理意见书中应该指出～ABC-CA在 从[年、月、日]到[年、月、日]期间内: ? 公布了其密钥和证书生命周期的管理工作以及信息的保密工作～这些工作都 符合公布出来的活动事项, ? 维持有效控制以便适当保障以下方面: ——妥善验证了用户信息,由于ABC-CA开展的注册活动,, ——确立了其管理的密钥和证书～并在它们的生命周期内～保护密钥和证书 的完整性。 ? 维持有效控制以便适当保障以下方面: ——用户和证书信赖者信息的使用仅限于获得授权的人～如果没有公布在CA 商业活动事项之中～不得使用该信息, ——保持密钥和证书生命周期管理的连续性, ——妥善授权并实施CA系统的发展、维护和运行工作～以保证建立在 AICPA/CICA的CA网络信任标准基础上的CA系统的完整性。 首次提交的材料至少应包括两个月或是更长的回溯期～具体长短由执业人员来决定。对于已经建立的CA及其活动情况～两个月的时间已经足够～但是对于新建立的CA及其活动情况～执业人员可能或觉得首次提交的材料应覆盖更长的时间才合适。在以后的提交中～始期应该是上次陈述的截止时期～以保证递交工作的连续性。至少每12个月应发布一次报告。在一些情况下～考虑到商务需要或证书信赖证者的愿望～执业人员可能会觉得以后递交材料覆盖的期间短一些更为合适。 CA的管理工作应该评估风险并对CA运作实行合理的控制～这些都是上述说法的基础。CA网络信任标准和控制都为风险评估和CA控制手段的最少化提供了基础。 1职业标准下检验一个独立的、客观的、在行的执业人员能够在AICPA递交的这些材料并且提供专业意见～增加管理层递交的材料的可信度。 认证中心网络信任审查与服务审计师报告的比较 当前的职业标准规定了审计师如何控制第三方的服务提供商,审计师业务,。审计师的业务指导原则已经在AICPA的审计标准说明,SAS,第70条的《服务组织》修订版,AICPA～《职业标准》第一卷澳大利亚版第324页,中明确指出。CA的网络信任工作与服务审计师的工作有如下的区别: ? 目的不同。CA网络信任提供了一个新的框架～在该框架下～审计师 通过审计师报告向利益各方～包括商业伙伴和已有/潜在顾客～报告 CA的活动。SAS的第70条,服务审计师报告,规定了审计师对审 计师的信息交流活动～以帮助用户审计师报告服务组织的客户财务 状况。 ? 评估目标不同。CA网络信任旨在专门考核CA的商业活动情况。审 计服务报告则是为了一般性的服务组织而的。 ? 业务类型不同。认证中心的网络信任要求对AICPA/CICA网络信任 1 根据《鉴证标准:修订和重新编码》,AICPA～《职业标准》第一卷的奥地利版第101页,的第一章——“鉴证业务标准公告”,SSAE,～该服务在美国得以施行。执业人员需要具有相应的技能和经验～以及在AICPA、CICA或其他权威认可的全国性会计机构得到了有关CA网络信任服务提供、网络信任证书颁发等方面的培训～才能向其客户提供认证中心网络信任方面的服务。专业机构需要能够开展“审核”,审计,级别的业务～从而颁发认证中心文联信誉担保标章。单单评价级别是不够的。 原则和标准的合规性做出通报。服务审计师报告的目的则在于审核 所涉时间范围内报告的控制设计及其存在状况～以及控制的有效实 施情况。 。CA网络信任遵循AICPA的《鉴证业务标准说明》? 考核标准不同 ,SSAE,。而服务审计师报告则遵循这些得到普遍接受的一般性审 计标准。 ? 覆盖的活动范围不同。CA的网络信任要求覆盖特定范围～包括公布 的CA商业活动事项～服务的完整性,包括密钥和认证生命周期管理 活动,以及CA的环境控制。服务审计师报告则与财务情况有关的控 制工作相关。 ? 与权威标准的关系不同。CA的网络信任提供了统一的规则～这一规 则来源于ANSI X9.79标准草案,这一标准将作为国际标准提交国际 标准化组织ISO,。而服务审计师报告的标准则没有规定报告必须说 明哪些是控制的目标。 ? 评审的时间跨度不同。CA网络信任评审最好从CA获得资质的第一 时刻起就开始～并且要求评审在时间上保持连续性以保持其信誉标 章。在取得资质之后～可以花至少两个月的时间来考察其合规性～ 并在一特定的时期内进行不断的更新,目前要求最多不超过一年,。 服务审计师服务报告的时间跨度由服务组织决定～但是没有要求必 须在时间跨度上保持连续性。 除此而外～这一方法还保证了保持与用于“适当信任服务标准与解释”的职业标准的一致性。“网络信任认证”和“系统信任认证”的报告标 准都是《鉴证标准:修订和重新编码》,AICPA～奥地利版的《职业标准》第一卷～第101页,的第一章——“鉴证业务标准公告”的第十条～即“鉴证约定”修订版。 附录E的表格列出了CA网络信任工作与SAS第70条和第5900节之间的差别。 网络信任标章的获得 要取得网络信任标章的担保～CA必须符合认证中心网络信任的所有原则～衡量这些原则采用的是与这些原则相关联的认证中心网络信任标准。不仅如此～实体必须(a)聘请一名执业人员～该人员持有AICPA、CICA或其他全国性的权威会计机构颁发的从业许可证～以进行网络信任方面的服务,(b)必须得到该执业人员出示的无保留意见书。 网络信任标章的保留 一旦获得了该标章～CA在做到以下几点的情况下便可以继续在自己的网页上显示标章: 1( CA聘请的网络信任执业人员定期重审担保内容～并定期更新他/ 她所出具的证明。CA必须不断从该执业人员那里获得无保留意 见书。两次修正工作之间的时间间隔取决于下面内容: a) CA运作的特点和复杂程度, b) CA运作中发生大变动的频度, c) 发生变动的情况下～为保持与认证中心网络信任标准的一致性～ 实体对变动的监督工作和管理控制工作的有效性, d) 执业人员的职业判断 例如～在发生以下情况时需要进行更为频繁的修正活动:CA扩 大其经营业务～迅速有了大规模的改变～或是为高度机密的信息 传输活动或大额交易活动签发高担保度证书～这样的CA不同于 那些签发证书数量较少、经营状况较为稳定的CA。两次修正工 作之间的时间间隔最多不能超过12个月,间隔往往短于12个月。 例如～对于一个刚成立的CA或刚启动的CA业务～第一次审查 的时间最好为3个月～在获得了网络信任标章之后开始第二次审 查工作～其时间跨度为6个月～然后才能进入12个月一审的周 期。为了保持时间跨度的连续性并且保住标章～修正报告的时间 跨度应该从上一次报告的结束时间开始～或是从第一次报告的起 始时间开始。 2( 在没有发布更新修正报告之前～CA应保证将其商业政策、操作、过程以及控制方面的重大变化情况通知执业人员～特别是当这些变化可能影响到CA是否可以继续遵守认证中心网络信任原则和标准～或是影响到遵守这些原则和标准的方法时。这些变动可能引起担保的更新～或是在一些情况下～引起担保标章的撤销～直到执业人员完成重新审查工作为止。如果执业人员发现了CA的上述变化～他/她可以决定是否在重新完成审查工作之前以及公布修订的审计师报告之前～取消担保标章。 标章管理过程 CA网络信任担保标章由标章管理员管理～遵循以下几点: ? 网络信任执业人员在获得网络信任许可证之后便从网络信任发证机 关获得了一个注册号码,ID和口令,。有了这个注册号码～执业人员 便能够向CA颁发网络信任标章。 ? 当执业人员准备好颁发网络信任标章时～他/她便访问网络信任安全 服务系统。在交纳了注册费用之后～执业人员便获得了专门用于标 章颁发的唯一口令和ID。标章管理员将相互对应的口令和ID发给执 业人员。执业人员利用口令能够从安全服务系统读取和输入信息,见 后,～使用ID能够预审显示状态。 ? 专业人员草拟一份执业人员报告～并将报告与标章管理员的确认信 一同寄到预审的网站。 ? 然后标章管理员向CA发送链接～通过与预览网站间的联系便颁发了 标章。颁发情况应该通知执业人员。 ? 之后～如果执业人员与CA都同意激活标章～由执业人员来通知标章 管理员将预览网站的信息转发到激活的网络信任网页上来～并告知 相应的过期日期。 ? 除非因故取消标章～否则标章在执业人员提供的期限内有效～另外 还有一个月的宽限时间。这额外的一个月时间用来完成约定事项以 及其他未完成的事务。比如～标章在20xx年6月30日到期～执业 人员就有30天来完成未完成的事务～并且准备向标章管理员寄送新 的材料。接下来的审查日期便从20xx年7月1日开始算起。 ? 如果执业人员决定取消CA网站的标章～那么他/她应立即将此事通 知CA～并且要求将标章从CA的网站上撤下。执业人员随后通知标 章管理员撤销掉所有的相关信息～换上有关这个网站的网络信任标 章不再有效的说明。 ? 标章管理员应在标章到期之前的30日之前通知执业人员更新标章。 如果因为未交纳标章注册费～或是其他充分的理由～标章管理员可 以撤回标章。 网络信任标章鉴定 为了证明一个CA网站上显示的标章是否真实～用户可以: ? 点击标章～通过安全连接～用户可以打开标章管理员主办的网络信 任标章的验证页面。该页面可以辨认CA～并且确定CA是否有权显 示网络信任标章。该页面还有许多链接～通过这些链接用户可以了 解许多相关的原则,也就是CA网络信任原则,以及其他相关信息。 ? 访问获得网络信任标章的实体的名单,该名单由标章管理员发布在 www.webtrust.org/abtseals.htm上。只要颁发了标章～获得标章的CA 都会被列在名单上。 认证中心的网络信任原则和准则 权威认证的网络信任原则 为了便于终端用户——注册人和证书信赖者——理解～制定以下原则时充分考虑了他们的情况～力图保证实用性和非专业性。 原则1:CA商业活动事项的公布 原则1是指:认证中心公布其密钥和证书的生命周期管理情况以及信息 保密情况～并且根据公布的内容提供相应的服务。 CA应必须公布其密钥和证书的生命周期管理情况和信息保密工作情况。涉及到CA商务活动情况的信息一般应该放在其网站上～以便所有的注册者和潜在的证书信赖者访问。证书政策,CP,、证书作业准则,CPS,或其他可被用户使用的信息材料中都应包含以上公布的内容。 原则2:服务的完整性 原则2是指:权威认证维持有效控制～以便在以下方面提供合理的保障: ? 适当验证用户信息,ABC-CA的注册活动来完成,, ? CA所管理的密钥和证书的完整性得以确立～并在其生命周期内得到 保护, 有效控制和实施密钥管理对于公共密钥基础结构的可信度非常重要。控制和实施加密密钥的管理工作包括了CA密钥的生成活动,CA密钥的保管、备份以及恢复,CA公钥的分配,特别是通过自签“根”证书的形式来完成时,,CA密钥托管,非强制性,,CA密钥的使用,CA密钥的销毁,CA密钥的存档,对CA加密硬件在其生命周期内的管理,以及CA提供的用户密钥管理服务,非强制性,。对密钥生命周期管理进行强有力的控制对于防止密钥泄密事件至关重要～因为密钥泄密可以破坏公钥基础结构的完整性。 用户证书生命周期是CA所提供服务的核心。CA在自己发布的CP和CPS中说明了其服务所依据的标准和操作方法。用户证书生命周期包括下面一些内容: ? 注册,验明身份和鉴别真伪的过程～通过这一过程～个体用户的行 为便受到证书的约束,。 ? 证书更新,非强制性, ? 用密钥重新为证书加密 ? 证书的撤销 ? 证书的中止,非强制性, ? 证书状态信息的即时发布,通过证书撤销清单～或是一些形式的网 上证书状态协议, ? 在密钥的生命周期内～载有私钥的集成电路卡,ICC,的管理,非强 制性, 对整个注册过程实施有效控制是非常重要的～因为如果没能很好的控制校验工作～用户和证书信赖者就无法有效利用CA颁发的证书。有效的证书撤销程序以及即时发布证书状态信息也非常重要～因为用户和证书信赖者据此能知道什么时候他们便不能再利用CA颁发的证书。 原则3:CA的环境控制 第三个原则——CA维持保持有效控制～以便合理保障以下几点: ? 注册者和证书信赖者的信息仅限于获得授权的个人使用～如果不属 于公布的CA商业活动事项～不得使用这些信息, ? 保障密钥和证书在其生命周期管理的连续性, ? 授权并实行CA系统的发展、维护和运行工作～以保证CA系统的完 整性。 建立和维护一个可靠的CA环境对于保障CA商业活动的可信度至关重要。如果不有力的控制CA环境～对密钥和证书生命周期管理的控制力 度便会大打折扣。CA环境控制包括CP和CPS管理、、资产分类和管理、人员安全、CA设施的物理安全和环境安全、运行管理、系统访问管理、系统发展和维护、业务连续性管理、监督和合规性管理～以及事件日志的制作。 认证中心的网络信任标准 认证中心的网络信任标准的发展是为了提供一个更详细的指导方针以更好地遵循认证中心的网络信任原则。这些标准为CA和执业人员提供了一个基础～前者可以用来检测自身是否符合标准～而后者则有了一套连贯一致的检测和评估CA活动的参照标准。 权威认证的网络信任规范基础是上述三原则,原则1:公布CA的商业活动事项,原则2:服务的完整性～包括密钥和证书生命周期的管理控制,原则3:CA的环境控制,。每一原则都包括了一系列标准～CA管理必须确定已经达到了这些标准。由于CA提供的服务范围不同～有一些标准并不适用于所有服务类型。非强制性的标准是否适用～取决于CA是否开展了相关的服务～这些服务是密钥托管、证书更新、证书中止、集成电路卡,ICC,的使用～以及用户密钥管理服务的提供。如果CA提供了以上任何一项服务～就应该适用相应的标准～而且专业人员还应检验适用的情况。如果CA没有提供上述服务～那么相关的标准就不适用～也没有必要调整标准报告。在一些情况下～其他机构可能会提供一些数字证书的签发服务,RA,～那么对CA的审查不应包括这些服务。这种情况下～应该调整标准报告～详细说明哪些签发服务不在审查内容当中,见附录A的示例2,。还可以通过参考公布的CA商业活动 事项来完成～在报告中明确说明了哪些数字证书的签发工作不受CA的控制。在一切情况下～由CA自己开展的证书签发活动都应该接受执业人员的检查～以考察这些活动是否符合原则1中所规定的控制方法～以 2中规定的标准。 及原则2 在评估网络信任时～执业人员必须了解CA的商业模式及其提供的服务～以决定可以适用哪些标准。对于公布的每一种事项和控制标准来说～都有一套作为说明性的公布事项和控制过程来指导CA去适应相应的标准。作为说明性的公布事项和控制过程不一定非要与特定商业环境下才适用的标准相吻合～还一些备选办法。 公布的CA商业活动事项标准主要来源于“英特网工程工作小组”,IETF,的“英特网X.509公钥基础结构证书政策”以及“证书签发实务框架”——“请求注释草案”,RFC 2527,～RFC 2527已经包含在ANSI X9.79标准草案的附录A之中。特定的密钥和证书生命周期管理,原则2,以及CA的环境说明性控制,原则3,规定了CA所进行的控制可以依据CA商业活动的不同而不同～原则2、3中提到的这种控制指的是原则1中公布的CA特殊商业活动。 认证中心的网络信任原则和标准 原则1:公布的CA商务活动事项 认证中心公布其密钥证书生命周期的管理情况和信息保密情况～并且根 2 在编写该文件时～“AICPA/CICA电子商务担保特别工作组”考虑到了由CA自己开展数字证书的签发工作～或由外部注册机构～即RA～来进行签发这样的情况。该文件规定～当签发活动由CA以外的组织完成时～RA的功能应该被“分割”出去～或是被认为不属于CA网络信任的审核范围。至于一些终端用户～这个方法没有强行要求对这些用户实行独立审查。特别工作组考虑了这种情况～并且认为发布和适用该文件是必要的～第三方签发活动带来的影响不在这个文件的考虑范围之内。 据所公布的情况提供相应的服务。 标准 公布事项说明 1(1 公布的CA商业活动事项 CA公布其商业活动～包括但并不限于以下内 容: 概述 校验每个CA签发的证书的CP和CPS。 1 CA根据[日期]的CPS颁发证书。CA颁发的证 书支持下列证书政策:CA的1类证书政策、 CA的2类证书政策、CA的3类证书政策～以 及银行团的证书政策。 公钥基础机构,PKI,内部的实体共同性和2 建立CA为各种外部客户提供多样化的认证服适用性包括对其类型的描述～CA颁发的证务。该结构下只有一个CA运行～该CA向所书的适用性。 有CA用户发放用户证书。CA指定一个用户作 为代理人～他根据指定的证书政策来鉴别注册 者的身份。注册者包括所有数字认证服务接受 方～他们都与CA签订了合同。所有信赖CA 颁发的数字证书的人或组织就是证书信赖者。 该证书政策说明,CPS,,或其他公布的CA商 业活动事项,适用于CA颁发的所有证书。CPS ,或其他公布的CA商业活动事项,中所说明 的做法适用于在CA域内数字证书和CRL的签 发和使用。 联系的详细信息和管理规定包括: 3 该CPS,或其他公布的CA商业活动事项,由? 联系人 CA的业务经理来管理。CA的证书政策由CA? 政策权利机构的身份识别 政策制定机构来管理。下面列出了联系信息。 ? 街道地址 ? 每个CP和CPS的版本以及有效日 有关该CPS的详细联系信息为: CA业务经理 [地址] [电话] [传真] [电子邮件] 有关CA证书政策的详细联系为: 政策权利机构 [地址] [电话] [传真] [电子邮件] 有关责任分割的适4 除非该CPS、适用的CP或其他条例做出了明确的规定～否则CA每次用条款 违反在该CPS和/或适用的CP下做出的任何明示担保而承担的总负债 与造成直接损害的最高赔偿金额一样～即10～000美元,也就是责任 上限,。无论有多少个数字签名、交易情况如何～或是与这些认证有关 的索赔请求如何～该CPS或适用的CP中所规定的责任上限都应一样。 此外～如果超出了责任上限～能够兑现的责任上限应首先用于赔偿最 早的索赔的请求以解决最后的纠纷～除非另有司法裁决。CA在任何情 况下都没有义务为每一个证书赔偿超过责任上限的金额～无论在有责 任上限条件下申请人之间对债务的分割方式如何。 财务责任范围包5 注册者和信赖凭证者申请并获得了证书～或信赖这些证书～那么他们括: 就同意为CA及其人员、组织、实体、转包人、供应商、卖主、代表? 证书信赖者的以及代理人因或近因是认证的公布而引起的负债、损失、损坏、诉讼 补偿 或任何开支进行赔偿、辩护～并保护他们不受伤害。证书被公布的原? 受托人关系 因是注册者在申请证书时没能向CA提供即时的、准确的以及完整的 信息～或是注册者的错误、疏忽、行动、行动失误以及过失。 CA及其证书签发机构,RA,不是代理商、受托人、托管人或其他注 册者或证书信赖者的代表。 解释和执行包括: 6 法律适用: ? 适用法律 ? 分割、存留、合 并和通知 ? 争端解决程序 [司法]法律应管理该CPS,或其他CA商务公布事项,的可执行性和解 释性～以保证向所有用户提供统一的程序和解释。 分割、存留、合并、通知: 分割或合并将导致该CA经营范围、管理和/或运行情况改变。在这种 情况下～可能也需要修改该CPS。经营活动的改变应与公布出来的CA 的CPS管理方法相一致。 争端解决程序: 如果出现与该CPS,或其他公布的CA商业事项,相关的争端～受损 害方应首先通知CA以及所有其他与争端相关的各方。CA应派出合适 人选解决争端。 费用包括: 7 注册者享受CA提供的服务～CA会向他们收取费用。有? 证书发放和更新费用 关费用收取的最新办法可以在[URL]的CA档案资料库中? 证书取得费 查到。该费用在进入CA资料库后的7天之后可以更改。 ? 证书撤销或状态信息查询 费用 ? 其他服务费用～如政策信 息费用 ? 退款政策 公布和入库要求包括: 8 在[URL]可以查询CA的CPS,或其他公布的CA商业事? CA信息的发布 项,。CA证书政策可以在[URL]查询到。 ? 发布频率 ? 访问控制 CA的所有公钥证书和CRL一旦签发～便公布在CA的索 引目录中。 所有注册者和证书信赖者都能够从CA的资料库中获取信 息。 合规性审计要求包括: 9 一个外部的独立审计员每年都要开展一次审计工作～以评? 主体合规性审计的频率 价CA公布的商业事项是否充分～CA对其认证工作的控? 审计师与被审计者的关系 制是否有效。 ? 审计项目 ? 发现缺陷之后采取的行动 ? 通报审计结果 年度审计内容包括: ? 公布的CA商业事项 ? 服务的完整性,包括对密钥和证书生命周期管理的控 制, ? CA环境控制 如在合规性审计工作中发现重大问题～那么应决定采取相 应行动弥补缺陷。审计师根据CA管理层提供的信息来做 出决定。CA负责监督在60天内是否了采取正确的行动。 如果发现的问题已经严重得威胁到了CA的信誉～CA管 理层应参考审计师的意见～考虑是否有必要暂时中断CA 的运行活动。 合规性审计的结果应通报给CA的董事会、CA管理层、 CA政策制定机构～以及CA管理层认为合适的各方。 CA颁发的提及特定CP的证书10 根据CA证书政策签发的证书～其使用仅限于与[银行的]的适用条件说明包括: 银行客户网的联系。CA颁发的证书不得用于其他目的。 ? 证书使用的特别许可～如 果该使用仅限于特定的适 用情况 ? 如果对该证书的使用有特 别的限制～那么证书的使 用将收到限制。 CA和/或RA,数字证书签发机11 CA的义务包括: 构,的义务: ? 使其运行情况与CPS,或其他公布的CA商业事项,? 通知证书已签发给注册保持一致～同样的～根据CA资料库中公布的修订情 者～该注册者是证书发放况对其运行做出调整 的对象 ? 根据相关的证书政策～即时发放并公布证书 ? 通知证书已经发放给非证? 从有要求撤销证书权利的人那里收到证书撤销请求 书发放对象的其他人 时～撤销CA发放的证书 ? 如果注册者的证书已经撤? 根据可适用的证书政策以及公布的CA商业事项中的 销或中止～将其撤销或中规定,原则1～第35条,～经常性的发布CRL 止情况通知他们 ? 通过电子邮件通知注册者:,1,已经为他们生成了证? 如果该非证书发放对象的书,,2,如何才能取回证书 证书已经撤销或中止～将? 根据注册者申请的证书种类的要求～如果CA无法满 撤销或中止情况通知他们 足注册者的申请～那么CA应通知注册者申请已经被 拒绝 ? 通过电子邮件通知注册者他/她的证书已经被撤销 ? 通过查询CA资料库中的证书和CRL～通知公钥基础 设施,PKI,的其他参与者～已经取消证书发放 RA的义务包括: 12 RA,或者CA的RA功能,的义务有: ? 校验注册者的身份 ? 根据相关的证书政策～证实注册者在申请时所提交的? 使撤销和中止要求生效 信息的准确性和真实性 ? 验证注册者的更新和重新? 根据相关的证书政策～在收到证书撤销的请求后～批 加密请求 准并安全地将撤销请求递交给CA ? 根据相关的证书政策～证实注册者在更新或重新加密 时提供的信息的准确性和真实性 资料库的义务包括: 13 CA的资料保存机构应该及时公布证书和证书撤销清单。 ? 及时公布证书和证书撤销 清单,CRL, 注册者的义务包括: 14 注册者的义务有: ? 证书申请陈述信息的准确? 向CA提供自己已知的和确信的、与证书有关的、准 性 确完整的信息,检验信息的真实性～并将信息的任何? 为注册者私钥保密 变动及时通知给CA ? 限制密钥和证书的使用 ? 保护其密钥不被泄漏 ? 通知密钥泄密危险 ? 证书的使用仅限于合法目的～并且符合相关的证书政 策和该CPS,或其他公布的CA商业事项, ? 如果注册者有理由相信与证书所用的公钥相对应的 私钥有泄密的危险～那么应及时通知CA撤销证书 证书信赖者的义务包括: 15 信赖凭证者的义务有: ? 证书使用的目的 ? 根据相关证书政策以及该CPS,或其他公? 核实数字签名的责任 布的CA商业事项,～出于这些证书的目的～? 检查撤销和中止的责任 限制对CA发放的证书的依赖 ? 确认可适用的责任上限和担保 ? 在信赖证书期间～验证证书的状态 ? 一旦信赖CA所颁发的证书～同意接受CPS ,或其他公布的CA商业事项,所说明的有 关负债限制的规定的约束 密钥生命周期管理 任何适用的信赖和财务上证书的使用。 16 依据CA证书政策签发的证书～只能用于金额 不超过100,000美元的交易。 CA密钥对的生成包括: 17 使用RSA算法算出的CA的签名密钥对大小为? 需要多大的密钥 1024比特。 ? 需要怎样的密钥生成计算方法 使用硬件生成密钥～符合(美国)联邦信息处理标? 密钥生成发生在硬件还是软件中 准,FIPS,140,1 第3级别。 ? 程序模块以什么标准生成密钥,例如～CA的签名密钥用于为证书及CRL签名。 需要的ISO 15782-1/FIPS 140-1/ANSI CA的签名密钥对的有效期为5年。 X9.66 模块, ? 密钥使用的目的是什么 ? 什么样的密钥使用目的应该受限 ? CA公钥和密钥分别的使用时期和有 效期是多长 CA密钥保护包括: 18 CA根密钥生成和保存的硬件加密模块得到了? 保存CA签名密钥的程序模块遵循什FIPS 140-1 第3级别的认可。 么样的标准,例如～需要ISO 使用CA的根密钥有两种不同的方式～一种为 15782-1/FIPS 140-1/ANSI X9.66模块, 物理方式～另一种为逻辑方式。两个人对硬件? 认证中心的私钥是否被n个人中的M模块的物理使用方式进行双重控制,n个密码中 个人保管 有m个被别人所掌握～要求管理可移动媒体的? CA的签名密钥是否被附条件的托管 不同管理者通过逻辑方法激活私钥。 ? CA的签名密钥是非有备份 CA的签名私钥只在硬件上备份～该硬件得到了? CA公钥和私钥是否都进行了存档 FIPS 140-1 第3级别的鉴定～并通过两人管理 的模式来实现保存。 外部第三方没有托管CA私钥。 应对CA签名私钥和过期的,和撤销,的公钥 进行存档。 CA是否向注册者提供了密钥19 CA向注册者提供的密钥管理服务内容包括: 管理服务～并且对服务内容做? 注册者密钥的生成 出了说明。 ? 注册者密钥的保管、备份和恢复 ? 注册者密钥的存档 ? 注册者密钥的销毁 分配CA公钥～包括说明如何20 CA的公钥通过一份自签名的证书发送给注册者～发送通将CA公钥何安全的提供给注道是CA和注册者的客户软件之间的一个加密的会话通册者和证书信赖者。 道～双方都有一个特许代码作为共享秘密。在MAC密钥 基础上保护真实性和完整性～MAC密钥来源于上述特许 代码。 变更密钥～包括说明如何向CA21 CA签名根私钥的有效期为2年～对应的公钥证书有效期用户提供新的公钥。 为4年。在私钥有效期满之后～应生成了一对新的CA签 名密钥～并用新的签名私钥给后来签发的证书和CRL签 名。对应的新的CA公钥证书则安全的提供给注册者和证 书信赖者。 注册者密钥对的生成,如果CA22 CA为注册者生成了一对加密密钥和与之对应的加密公钥向注册者提供密钥对生成服务加密证书 的话,～包括: 加密密钥对通过CA与注册者客户软件之间的加密会话安? 注册者的私钥是如何安全全通道安全的的提供给注册者。 的送到注册者手中的 由RSA计算方法计算出的注册者加密密钥对大小为1024? 需要多大的密钥 比特。 ? 需要怎样的密钥计算方法 CA生成注册者加密密钥对使用的是CA系统软件～该过? 密钥对的生成是在软件还程符合FIPS 140-1 第1级别。 是硬件中进行的 ? 生成密钥所需的程序模块 其标准如何,比如～需要 ISO 15782-1/FIPS 140-1/ANSI X9.66级别的 模块, ? 密钥使用的目的是什么 ? 哪些密钥使用目的应该受 到限制 保护注册者私钥,如果CA提供注册者23 CA生成的注册者加密私钥在CA数据库中备份。密钥管理服务的话,～包括: CA数据库被加密～主控密钥保障其完整性。注册? 注册者用来解密的私钥是否备份 者自己生成签名私钥～不被CA所知～也不由CA? 注册者用来解密的私钥是否存档 保管。 ? 在什么条件下可以销毁注册者的所有用户的加密密钥对的历史记录～包括所有用 私钥 以解密的私钥的完整历史记录～都在CA的数据? 注册者用来解密的私钥是否由CA库中进行加密保管。 担任第三方进行托管 由CA保管的注册者加密私钥不能被销毁。 CA不担任注册者私钥的托管人。 证书生命周期管理 是否支持证书中止 24 CA不支持中止证书。 初次注册～包括说明CA要求 25 CA使用X.500辨识名称表建立了一个单一的姓名系统。 校验注册者身份～以及在实体在任何情况下～主体的名字都必须有意义。一般来说～应注册或证书签发过程中接受注该使用CA所熟知的注册者的名称。CA不支持使用注册册者的证书请求: 者通用名的假名。 ? 主体的名称类型～解释不能够在姓名系统里识别所有CA的PKI主体。 同类型名称的规定 如果可辨识的姓名发生了冲突～例如出现了另一个“张? 名称是否需要有意义 三”～那么应在名字中间使用一个大写的首字母、中间名～? 名称是否必须唯一 或其他注册者能够接受的修改～以使名字变得唯一。 ? 姓名权争端如何解决 CA的证书签发活动是在封闭的PKI中进行的。商标和有? 商标的识别、鉴别以及作关姓名的事项一般不适用于在这里签发的证书。 用 证书申请人通过出示证书政策规定的检验值来证明是否? 如果对象必须证明自己持持有私钥。 有与证书上的公钥相匹配根据证书政策～如果组织身份也视为很重要的话～那么可 的私钥～他们应怎样做 以通过采用证书政策中规定的方法来验证组织身份。 ? 为了签发证书～如何才能证书政策规定验证个人的身份,通过连接到证书政策的热 将注册者的公钥安全的提链接,。 供给CA 在递交证书申请时～至少应向CA提供下列信息:注册者? 鉴别对象组织身份的要求 的公钥、注册者可辨别的姓名、其他CA证书申请表中要? 个体身份鉴别 求的信息。 ? 需要什么样的证书请求资如果证书政策要求～CA应通过调查注册者是否是某一特 料 定组织的员工或合伙人～来核实注册者是否具有提出证书? CA如何检验注册者要求请求的权利。CA的调查可以通过向该组织的人力资源部 证书的权利 或合伙人成员部问询来实现。 ? CA如何证实注册者证书CA通过查询第三方数据库来核实注册者证书要求中的信 要求中所提供信息的真实息是否准确。 性 CA检查证书请求是否存在错误或疏忽。 ? CA是否检查了证书要求 有没有错误或疏忽 在利用外部RA时～注册要求包括26 CA要求外部的注册机构,RA,向CA的一位员工递CA的以下工作步骤: 交两份书面表格以证明其身份。 ? 验证外部RA的身份 CA授权在成功鉴定、证明其身份并批准外部RA注? 对外部RA授权 册,表,与证书申请表的条件下向外部RA授权。 ? 要求外部RA保证部分RA负责外部RA有责任鉴别确认注册者的身份～保障他们用 的证书的申请、证书更新以及证来为证书申请书签名的私钥的安全性～安全地将申请 书重新加密过程的安全性 书递交给CA～并且安全的保管注册者的任何信息。 ? CA如何核实外部RA递交的证通过验证RA递交的证书请求上的数字签名是否真 书请求的真实性 实～CA可以核实证书请求的真实性。 证书更新～包括对下列CA步骤的27 证书更新过程与新证书申请程序相似。但是注册者只说明: 需要提交发生了变动的信息。 ? 通知注册者有必要进行更新 ? 验证核实 ? 验证证书更新要求 常规的用密钥重新加密～包括说明28 初次注册时CA要求的验证核实工作确认了个体身份对验证核实和审查重新加密请求的之后～没有必要重复验证～除非适用的证书政策对此过程。 另有规定。在重新验证核实工作开始之前～注册者最 多只能提出两次加密申请～这在初次注册时已经明 确。 撤销或过期之后重新对证书进行密29 如果已经重复了初次注册时进行的验证核实工作～那钥加密～包括说明主体证书撤销之么那些那些已经撤销证书或是证书过期的注册者可后的验证核实工作和审查重新加密以再次再次申请密钥加密。 请求的过程。 签发证书～包括说明以下事项的要30 在成功处理了申请、注册者接受证书之后～向注册者求: 颁发证书。依据CA公布的证书简介～证书的格式、? 证书的发放 有效期、扩展域～以及密钥使用的扩展领域都做了具? 通知申请人证书已经发放 体要求。 ? 证书格式要求 ? 有效期要求 ? 扩展域要求,即允许怎样的扩展 域～如何增加扩展域。, 认可证书～包括说明已签发的31 证书生成之后～在注册者获取证书之前都保存在一个安全证书和以后签发的证书的认可的资料库中。证书一旦被获取～证书的状态便被更新～以要求。 反映其状态已被认可而且有效。 分配证书～包括说明CA的已32 为所有注册者和证书信赖者设立一个单独的资料库。CA有机制,例如索引目录这样的发放的所有证书以及与之相关所有的证书撤销清单资料库,～这些机制便于第三责,CRL,都在该资料库中公布。该CA的资料库的建立在任方利用证书以及发布的X.500指导系统的基础上。访问该指导系统的协议为轻型CRL。 目录访问协议,Lightweight Directory Access Protocol,第 2版。 证书撤销包括: 33 可以有许多原因导致证书的撤销:怀疑或确实存在证书中公钥? 证书可能或必须被对应的私钥的泄密控制威胁、硬件或软件故障导致私钥无法使撤销的条件 用～或是注册者没能履行该CPS和相关CP中规定的义务。特? 核实验证撤销请求定CP中会另行规定证书撤销的其他条件～并且和注册者与CA的过程 之间的关系变化有关～例如客户或员工状态的变化～特别是员? 证书撤销请求的启工角色的变化等。 动、批准和核实过程 ? 注册者提出撤销请求撤销证书的请求可以由注册者、RA或CA提出。由RA员工提 的宽限期 出的证书撤销请求需要让他们享有充分利用RA系统的权利。由? 由于私钥泄密危险而注册者提出的撤销自己证书的请求需要下列的其中一点: 提出撤销请求～并由? 注册者向RA发送一份附有数字签名的电文 此而导致的对过去规? 注册者亲自向RA递交一份附有个人照片的身份证 定的修改,与其他撤? 注册人在首次提出申请时递交自创的密码短语 销理由不同, ? CP规定的其他方法 ? 快速通报的程序～以 安全便利的核实以下注册者可以通过上网、电子邮件或打电话的方式要求CA撤销证 撤销请求:,1,一个书。如果通过上网的方式提出请求～而且终端实体也提供了正 或多个实体提出的一确的密码短语～那么证书就可以立即被撤销。通过电子邮件或 个或多个证书撤销请电话提出的撤销请求在CA确认了请求的有效性之后的一天内 求,,2,所有由CA实现。CP规定了对电话和电子邮件核实工作的过程。有效的证 签发的一套证书～该书撤销请求会在收到请求后的24小时内进行处理。CP可能会要 证书的基础是CA用求在更短的时间内完成撤销请求的处理工作。 以生成证书所使用的非密钥泄密威胁原因而提出的撤销请求必须在事件发生后的最 一对公钥/私钥,,3,多48小时之内提出。如果怀疑或是确定私钥被泄密～在确认事 CA签发的所有证书～件之后应立即提出撤销请求。 无论使用的是公钥对CA的证书撤销过程支持一个或多个实体的一个或多个撤销请 还是私钥对 求能安全的、可靠地实现～并且通过每日公布的CRL,如有必? 注册者证书被撤销之要～提高CRL发布的频率,迅速的将撤销情况进行通报。CA 后通知注册者的过程 的系统和程序有能力撤销,1,CA发放的所有证书～这些证书? 由外部RA提出的撤上都签有CA的一个签名私钥～以及,2,CA发放的一组证书～ 销请求在证书被撤销这些证书上都签有CA不同的签名私钥。 之后是否通知该外部一旦注册者的证书被撤销～应通过电子邮件通知注册者。 RA 当撤销请求由外部RA提出时～一旦注册者的证书被撤销～应立? 证书被之后～注册者即通知该外部RA。 的证书状态信息何注册者的证书一旦被撤销～被撤销的证书应公布在下一次的 时、如何更新 CRL中。 证书中止包括: 34 CA不支持中止证书。 ? 可以或必须中止证书的条 件 ? 核实验证撤销请求的过程 ? 证书中止请求的提请、批 准和审核程序 ? 中止时间长短 ? 可以或必须撤销中止的条 件 ? 撤销证书中止的授权标准 ? 如果私钥泄密导致证书的 中止～那么应对过去的规 定做哪些调整 ? 确立快速通报程序～以便 于下列证书安全可靠的中 止:,1,一个或多个实体 的一个或多个证书,,2, 所有由CA发放的一套证 书～该证书的基础是CA 用以生成证书所使用的一 对公钥/私钥,,3,CA发 放的所有证书～无论为证 书签名的是公钥还是私钥 对 ? 通知注册者其证书已经中 止的程序 ? 如果中止请求由外部RA 提出～那么在证书被中止 之后是否通知该外部RA ? 中止证书或撤销中止之 后～注册者的证书状态信 息何时、如何更新 证书状态信息规定包括: 35 CA在每天的晚上11:59分公布CRL。此外～如? 采用何种机制,CRL～OCSP或其他, 果CA工作人员认为有必要～CA还将公布临时? 如果采用的是CRL～CRL发布信息CRL,也就是～发生重大私钥泄密事件时,～或者 的频率 证书政策另有规定也将公布临时CRL。 ? 要求所有证书信赖者查看CRL 如CP所说明的～要求所有证书信赖者都查看? 可在线撤销证书并查看状态 CRL。 ? 要求证书信赖者在线撤销证书并查通过电子邮件、信件或电话通知注册者他/她的证 看状态 书已经撤销。CP还规定公布其他形式的撤销启? 其他可查询的发布撤销启事的形式 事。 ? 要求证书信赖者查看其他形式的撤CA将CA所签发的所有证书及CRL进行存档～ 销启事 存档时间至少为10年。 ? 私钥泄密事件引起的中止或撤销～CA还支持利用OCSP来在线查看证书撤销情况。 调整上述规定,与其他中止或撤销CA要求OCSP请求包括下列资料: 原因不同, ? 协议版本 ? 要求CA将CRL或其他证书状态信? 服务请求 息存档保留 ? 目标证书标识 ? 是否保留了所有签发证书的副本? OCSP伺服主机处理的选择性扩充域 ,包括所有过期的、撤销的或中止 的证书,～公布保管的时限 准确的OCSP应答电文包括下列内容: ? 如果采用了在线状态机制,例如? 应答语法的版本 OCSP,～对证书状态内容有怎样的? 伺服主机的名称 要求 ? 对一个请求中的每一个证书的应答,包括目? 如果采用了在线状态机制,例如标证书标识、证书状态值、有效应答的时间 OCSP,对准确的应答电文资料的内间隔、选择性扩展域, 容有怎样的要求 ? 选择性扩充 ? 为准确的应答电文签名的是哪种密? 签名计算方法OID 钥 ? 用汉斯函数计算出的签名 ? 当CA应证书状态的请求退回错误 电文时～是否在该错误电文上进行签发问题证书的CA用自己的密钥为所有的准确 数字签名。 应答电文进行签名。 当CA应证书状态的请求退回错误电文时～不在 该错误电文上进行数字签名。 证书结构包括: 36 X.509证书格式的下列内容在CA的PKI中被采用: ? 支持的版本号 ? 版本—S参照第3版 ? 证书的扩展域及其危险程度 ? 序列号—保证CA域中的每个证书的唯一性 ? 加密运算客体的标识 ? 签名计算方法标识—CA采用的证书签名的计算? CA、RA和注册者的名称形式方法 ,即采用的姓名体统以保证证? 发证人—证书发证人的身份识别 书主体能够被独唯一的识别—? 有效性—确定有效期的起始和结束日期 如有要求的话, ? 主体—证书主体的可辨识的名称 ? 采用的约束姓名的方法～姓名约? 公钥信息—计算方法标识,即RSA和SHA-1, 束要求的姓名形式 和公钥 ? 可适用的证书政策客体标识 ? 发证人唯一的标识符 ? 利用政策约束扩展域 ? 主体唯一的标识符 ? 策略限定语法和语意 ? 扩展域 ? 处理语意用于证书政策重要的 扩展活动 CRL结构包括: 37 CA使用下列X.509 CRL格式内容: ? CRL的支持版本号 ? 版本—v2 ? CRL和CRL条目的扩展域及其? 签名—计算CRL签名计算方法的标识 危险性 ? 发证人—确认签发CRL的CA ? 本次更新—CRL公布的时间 ? 下次更新—下次公布CRL的可能时间 ? 已撤销的证书—已撤销的证书的信息清单 CA支持在线查询证书状态或查询撤销情况的服务。 集成电路卡,ICC,生命周期管理包38 CA不向注册者发送智能卡。注册者可以根据他们自括: 己的意愿购买智能卡和读卡器用于密钥生成和保管。 ? ICC是否由CA,或RA,颁发 ? 如果支持～说明CA的ICC卡生 命周期管理的过程～包括说明 ICC的分配过程。 CA的环境控制 CPS及CP管理: 39 CA的政策机构可能会认为修订一些该CPS对使用CA发? CPS和CP变化控制程过放的证书及CRL的注册者和证书信赖者只会造成很小的 程 影响、或是根本没有影响。做出这些修订时不一定要通知? 发布和通知政策 CPS的用户～也不一定要调整该CPS的版本号。修订该? CPS和CP批准过程 CPS及其支持的证书政策～如果CA政策机构认为可能会 对该CPS的用户造成重大影响～应将修订的情况以及该 CPS版本号变动的情况在45天之内通知用户。 CA的政策机构应在修订该CPS之前的45天之内将变动 信息发布在CA的网站上。 由CA政策机构来批准该CPS及其他后来的任何变动。 CA终止～包括说明终止程序40 CA的终止只能由CA董事会来决定。如果CA被终止～并向另一个CA或RA通告终CA签发的所有证书都将被撤销～CA也将不再签发任何证止情况～包括保管CA和RA书。CA至少应提前一个月通知所有享受CA服务的商业档案资料人的身份。 单位。一旦CA被终止～CA的历史记录应存档～并移交 到特定地方妥善保管。 保密事项包括: 41 CA认为不属于公共领域信息的信息应该保密。 ? 可使用的法律或规定要求 信息保密 保密信息包括: ? 保密信息的种类 ? 注册者的签名私钥是保密的～不向CA或RA提供 ? 非保密信息的种类 ? CA的经营和控制专用的信息～比如安全参数和审计? 公开有关证书撤销和中止追踪～都由CA秘密保管,除非法律另有规定～否则 的信息 不能对外泄漏。 ? 向执法人员公开信息 ? 证书、CRL、证书政策～或该CPS中公布的信息之外? 作为民事诉讼之资料进行的有关注册者的信息～是保密信息,除非有证书政策 公开 要求～或法律另行规定～否则一律不能对外公开。 ? 应持有人要求公开信息 ? 一般来说～每年的审计结果应该保密～除非CA管理? 其他信息公开的条件 层认为有必要公布审计结果。 非保密信息包括: ? 由CA签发的证书以及CRL中所包括的信息被认为是 非保密信息。 ? 该CA支持的证书政策中的信息被认为是非保密信息 ? CA公布的CPS 中的信息,或其他CA公布的商业事 项,～被认为是非保密信息。 ? 当CA撤销某一证书时～CRL中列出了证书的撤销理 由。该撤销理由的密码被认为是非保密信息～所有其 他注册者和证书信赖者都可以分享该信息。但是～有 关撤销的其他细节一般不公布。 CA将根据执法人员的执法要求公开信息。 CA将根据信息持有人的要求向其他方公布有关信息持有 人的信息。 知识产权 42 CA签发的公钥证书和CRL都是CA的财产。该CPS和相 关证书政策都是CA的财产。 物理安全控制包括: 43 CA所有的重要运行工作都在安全的设备下进行的～该设? 选址和建设 备周围设有至少四层安全层～在这样的条件下才能接触到? 控制物理接触～包括身份敏感的硬件和软件。该系统从物理上与组织的其他系统分 验证和限制使用CA设备 隔开～只有获得授权的CA员工才能使用到这些系统。 ? 供电和空调设备 严格控制与CA系统进行物理接触。只有可信赖的员工～? 水曝露防范 在出具充足的商业理由的情况下才能使用系统。使用控制? 防火措施和设备 系统一直处于运转状态～并且采用接近式卡和生物辨识系? 存储介质 统来控制使用活动。 ? 废料处理 所有的CA系统都配备工业标准的动力系统和空调系统～? 场外备份 为系统的正常运转提供适当的环境。 所有CA系统都采取了合理的防范措施～以最大程度的降 低水渗透造成的损失。 所有CA系统都有工业标准的防火机制和设备。 为CA第三处方理器的存储介质配备与CA硬件一样的防 护措施。CA控制下的存储介质符合公司对正常存储介质 的要求。 根据组织正常的废料处理要求处理废料。加密设备在处理 前应依据设备生产商的指导～对加密设备进行物理上的销 毁或拨零。 场外备份资料存放在一个有担保的第三方存储设备中。 商业连续性管理控制包括: 44 CA制定了定期恢复其商业运作的商业连续性的～以? CA是否制定了商业连续在重要的商业活动被影响或中断之后继续运营。CA的商 性计划以保证在重大商业业连续计划将规定～24小时是发生重大自然灾害或CA私 活动被破坏或中断后及时钥泄密事件导致商业活动中断的最长时间。 开始维护或恢复CA商业 运作的工作 重要的商业信息和CA系统软件每天都应该备份。 ? CA的商业连续性计划是 否规定了一个可以接受的CA在其原办公地点大约50英里处设有一个恢复站点。 系统中断时间和恢复时 间～并且明确了恢复的期 限 ? 重要的商业信息和软件多 长时间备份一次 ? 恢复设备的地点到CA的 主站点的距离 事件记录包括: 45 审计追踪文件作为CA预定好的系统备份程序的一部分～? CA事件日志存档间隔 至少应每天备份一次。审计追踪文件的存档工作应由系统? 事件日志的查看频度 管理员每周进行一次。 CA管理层至少每周应查看一次事件日志。 原则 2:服务的完整性 认证中心维持有效控制～以为以下几点提供合理保障: ? 注册者信息得到了适当的验证,ABC-CA的注册活动,, ? 密钥和证书的完整性已经确立～并在其整个生命周期里得保护。 标准 控制说明 ,以CA控制程序为基础 详细情况参见ANS8.79标准草案, 2.1密钥生命周期管理控制 2.1.1CA密钥的生成 该控制一般包括但不仅限于以下几点 CA维持有效控制～以合理保1 CA密钥生成在一个安全的加密设备中～该设备符合ISO 障CA密钥对的生成符合工业15782-1/FIPS 140-1/ANSI X9.66要求～CA公布的商业事标准 项中对此也有说明,参见原则1～第18条,。 2 对CA密钥的产生实行双重控制～双重控制的实施人为 获得了授权的人员。 3 CA生成密钥对的加密设备与使用密钥对的设备是一样 的～或者密钥对从生成密钥对的设备中直接注入进使用 密钥对的设备中。 4 ANSI X9或ISO标准规定～密钥的生成使用随机数产生 程序,RNG,或拟随机数产生器,PRNG,。 5 ANSI X9或ISO标准规定～密钥生成采用素数产生程序。 6 ANSI X9或ISO标准规定～密钥生成采用了密钥生成计 算方法～CA公布的商务事项也做了说明,原则1～第18 条,。 7 密钥生成决定密钥大小～CA公布的商务事项中做了说明 ,原则1～第18条,。 8 生成密钥所用的硬件和软件的完整性以及硬件和软件的 界面在使用前都应该进行检查。 2.1.1CA密钥保管、备份和恢复 这种控制一般包括但不仅限于下列几点: CA维持有效控制～以合理保障CA1 CA的签名私钥保管在一个安全的加密设备中～该加私钥的保密性和完整性。 密设备符合ISO 15782-1/FIPS 140-1/ANSI X9.66级别 的要求～CA公布的商业事务对此也有说明,原则1～ 第17条,。 2 如果为了便于脱机处理或备份和恢复工作使用～CA 私钥没有从一个安全的加密程序模块中转移到安全 地方保管～那么CA私钥的生成和使用都应在同一个 加密的程序模块中～并且永远不离开这个加密的程序 模块。 3 如果为了便于脱机处理或备份和恢复工作使用～从一 个安全的加密程序模块提取CA私钥并将其放在安全 的地方保管～那么私钥的转移工作应遵循一个私钥管 理安全计划～该计划包括以下几条: a) 作为加密文本实行双重控制 b) 作为加密密钥片断实行双重控制以及分持机密 程序/分割所有权 c) 在其他安全加密程序模块下作为密钥传输装臵 实行双重控制 4 在安全的物理环境下～授权专人对CA私钥进行备份、 保管和恢复。 5 如果CA签名私钥已经备份～那么应对备份的CA私 钥副本采取和现在使用的私钥一样、甚至更完备的安 全措施。 6 如果CA签名私钥已经备份～CA私钥的恢复工作应 该在和备份过程同样的安全计划中进行～采取双重控 制。 2.1.3CA公钥分配 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障在首1 在初次分配中～CA提供一种机制以发现CA公钥的次及随后的分配中～CA公钥的完整调整变化,例如～采用自签名证书,。 性和真实性～以及相关参数得到了保2 CA公钥的首次分配机制～其控制方法公布在CA商护。 业活动的内容中,原则1～第20条,: 3 CA公钥的首次分配采用了下面的方法～这些方法都 公布在了下面任意一个CA的商业活动中,原则1～ 第20条, a) 可以机读媒介,例如智能卡, b) 嵌入某实体的加密模块中 c) 其他安全措施 4 CA公钥定期更改,更新密钥,～CA商业活动事项对此 有所说明,原则1～第21条,。 5 随后的CA公钥分配机制～其控制方法公布在CA商业 活动事项中,原则1～第21条,。 6 如果一实体已经获得了经正式鉴定的CA公钥副本～那 么就应采用下列方法分配一个新的CA公钥～分配方法 已经公布在CA商业活动事项中了,原则1～第21条,: a) CA电子直接传输 b) 存入一远程高速缓冲存储器或目录 c) 存入一加密模块 d) 首次分配所采用的任何方法 2.1.4CA密钥托管,非强制性, 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障被1 如果某第三方提供CA密钥托管服务～应有一个合同～托管的CA签名私钥的保密性。 明确双方的责任和补救方法。 2 如果签名私钥被第三方暂时托管～应该对所托管的CA 签名私钥副本实行与当前使用的密钥相同的、甚至更高 的安全保障。 2.1.5CA密钥的使用 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障CA1 采用多方控制的方法来激活CA签名私钥,即n和m原密钥只在预定地方发挥预定的功理,。 能。 2 如果有必要～在风险评估的基础上～使用多因素鉴别法 来激活CA签名私钥,例如～智能卡和口令～生物测定 法～以及密码口令,。 3 CA在密码有效期结束之时～或在发现或怀疑私钥被泄 密时～停止使用密钥对。 2.1.6CA密钥的销毁 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障CA1 公布的CA商业事项对此有所说明,原则1～第17条,密钥在密钥对生命周期结束之时说明了销毁CA私钥以及如何销毁CA私钥,例如～收已经被完全销毁。 回标记、销毁标记～将密钥格式化,的授权活动应如何 进行。 2 在密钥对生命周期结束之时销毁所有的CA私钥副本和 片断。 3 如果知道一个可以使用的安全加密设备将永远不能再 使用～储存在该设备中的、曾经用于或可能被用于加密 目的的所有CA密钥都应被销毁。 4 如果一个CA加密设备将不再使用～那么应删除该设备 中所有用于加密目的的密钥。 5 如果一个装有加密设备的盒子具有防窃取功能～而该加 密设备已不在使用～那么应销毁该盒子。 2.1.7CA密钥存档 该控制包括但不仅限于以下几点: CA维持有效控制～以合理保1 应该对存档的CA密钥进行与当前使用的密钥相同的、甚至障已经存档的CA密钥的保密更高的安全防护。 性～永远不再生成该密钥。 2 在存档时期结束之时～采用双重控制的办法～在一个安全的 物理地方销毁所有入档的CA密钥。 3 永远不再生产这些入档密钥。 4 可以在技术允许的最短时间内恢复入档密钥。 5 存档密钥应定期检查～以确保它们在存档期满时被妥善销 毁。 2.1.8CA加密硬件生命周期管依据本节的目的～CA加密硬件指的是装有CA签名私钥的设备。 理 CA维持有效控制～以合理保 障只有合适的获得授权的人 才能使用加密硬件。 该控制一般包括但不仅限于以下几点: 1 政策和程序要求生产商通过防窃取包裹的挂号邮件寄送 CA加密硬件。 2 收到生产商寄来的加密硬件之后～获得授权的CA人员检查 该包裹～以确定封条完好无损。 3 为防止窃取～CA加密硬件保管在一个安全的地方～只有获 得授权的人员能够接触该硬件～有以下一些特点: a) 管理每个设备发生、到达、条件、送达和到达的库存 控制程序。 b) 获得授权的人员的访问控制程序和限制物理接触的程 序。 c) 接近CA设备以及访问设备保管机制的所有成功或失 败的事件都记录在事件日志中。 d) 处理反常事件、安全危机、进行调查和撰写报告的事 件处理过程和程序。 e) 核实控制有效性的审计过程和程序。 4 CA加密硬件保管在防窃取包裹中。 5 应该至少有两位可信赖的员工在场时才能处理CA加密硬 件。 6 现场至少有两名受托人在场时才能安装CA机密硬 件。 7 现场至少有两名受托人在场时才能转移正处于生 产过程中的CA机密硬件。 8 现场至少有两名以上的受托人在场时才能使用新 硬件、固件或软件对CA加密硬件进行修理。 9 保养或维修站点应设在一个安全的地方～有着严格 的库存控制和访问管理～只有少数几个获得了授权 的人员才能接近。 10 现场至少有两名受托人在场时才能进行CA加密硬 件的拆卸和废除工作。 CA维持有效控制～以合理保障CA加11 在收到生产商寄来的CA加密硬件之后～应立即进密硬件的正常运行。 行验收测试和固件测试。 12 在收到经过保养或维修的CA加密硬件之后～应立 即进行验收测试和固件测试。 13 对用于私钥保管和恢复的设备及其界面在使用前 进行完整性测试。 14 定期纠正CA加密硬件。 15 现场至少有两名受托人在场时～诊断CA加密硬件 的故障排除工作。 2.1.9CA提供的注册者密钥管理服务依据本节目的～注册者包括外部的注册机构,RA,。 ,非强制性, 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障CA,或1 CA,或RA,在一个安全的加密设备中生成的注册RA,生成注册者密钥的过程符合工业者密钥～该设备符合ISO 15782-1/FIPS 140-1/ANSI 标准。 X9.66级别～公布的CA商业活动事项中对此也有 说明,原则1～第18条,。 2 ANSI X9或ISO标准规定CA,或RA,采用随机 数产生程序,RNG,或拟随机数产生器,PRNG, 来生成注册者密钥。 3 ANSI X9或ISO标准规定CA,或RA,采用素数 生成器来生成注册者密钥。 4 CA,或RA,采用ANSI X9或ISO标准规定的计算方 法生成注册者密钥～公布的CA商业活动事项中对此有 所说明。,原则1～第18条,。 5 CA,或RA,生成的密钥决定了密钥的大小～公布的 CA商业活动事项中对此有所说明,原则1～第18条,。 6 获得授权员工专门负责CA,或RA,注册者的密钥生 成工作～公布的CA商业活动事项中对此有所说明,原 则1～第18条,。 7 当注册者密钥由CA,或RA,生成～CA,或RA,代 表注册者安全的,保密的,将CA,或RA,生成的密 钥交付给注册者～公布的CA商业活动事项对此有所说 明,原则1～第18条,。 CA维持有效控制～以合理保障CA8 由CA保管的注册者私钥的保管方法采用的是加密运算保管的注册者密钥的保密性和完以及合适的密钥长度～该长度建立在风险评估和CA商整性。 业要求基础上。 9 如果CA代表注册者生成密钥对～CA应保证注册者的 私钥不向除了所有者自己以外的其他实体公布。 10 如果CA生成了公钥/私钥的数字签名密钥对～一旦密 钥交付给了注册者～CA不能保留数字签名密钥的副本。 11 如果CA为注册者提供密钥保管、备份以及恢复服务～ 那么应该授权专人来实施私钥的备份和恢复工作。 12 如果CA提供注册者密钥的保管、备份和恢复服务～那 么还应该实行相应的控制～以确保注册者的私钥在其整 个生命周期内都保持完整。 CA维持有效控制～以合理保障由13 如果CA提供注册者密钥的保管服务～公布的CA商业CA保管的注册者密钥在密钥对生活动事项说明了销毁工作的授权情况以及销毁方法,例命周期结束之时被完全销毁。 如～覆盖密钥,～,原则1～第22条,。 14 如果CA提供密钥的保管服务～注册者私钥的所有副本 和片断都应在密钥对生命周期结束之时被销毁。 CA维持有效控制～以合理保障由15 由CA存档的注册者私钥应以加密的形式进行保管～并CA存档的注册者密钥的保密性。 采用加密计算方法和建立在风险评估和适应CA商业要 求的密钥长度。 16 如果CA提供注册者密钥的存档服务～应在存档期满时 销毁所有存档的注册者密钥。 CA维持有效控制～以合理保17 由CA托管的注册者私钥应以加密的形式进行保管～并采障CA托管的注册者密钥的保用加密计算方法和建立在风险评估和适应CA商业要求的密性。 密钥长度。 2.2证书生命周期管理控制 2.2.1注册者注册 注:提出请求的实体可以是一个向RA或CA请求签发证书的注 CA提出请求的RA～或者一个向根CA或上级CA提册者～一个 CA。 出请求的下级 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保1 CA核实、或要求外部RA核实提出请求证书的实体的身份～障注册者的身份已经被合理这在公布的CA商业活动事项中有所说明,原则1～第25验明。 条,。 2 CA要求申请证书的实体必须准备一份合理的证书申请材 料提,注册要求,交给RA,或CA,～公布的CA商业活动 事项对此有所说明,原则1～第25条,。 3 CA核实、或要求外部RA核实提出证书申请的实体的权力～ 公布的CA商业活动事项对此有所说明,原则1～第25条,。 4 CA核实、或要求外部RA核实实体提出的证书申请信息是 否准确～公布的CA商业活动事项对此有所说明,原则1～ 第25条,。 5 如果采用外部RA～CA应验证外部RA的身份～公布的CA 商业活动事项对此有所说明,原则1～第26条,。 6 如果采用外部注册机构～则由CA向外部RA授权～公布的 CA商业活动事项对此有所说明,原则1～第26条,。 CA维持有效控制～以合理保7 CA要求申请证书的实体准备一份适当的证书申请资料提障注册者申请证书的信息的交给CA或RA～公布的CA商业活动事项对此有所说明,原准确性、权威性和完整性。 则1～第25条,。 8 CA要求申请实体在申请证书的时候向CA提交其公钥～公 钥包含在一份签名电文中。CA要求申请实体使用与注册请 求所采用的公钥相对应的私钥来为注册申请签上数字签 名～这样做的目的是: a) 便于发现证书申请过程中的错误 b) 便于证实持有与注册的公钥相对应的私钥 9 CA利用实体的证书申请中包含的公钥验证提交上来的证 书申请上的实体的签名是否有效。 10 如果使用了外部RA～CA要求外部RA向CA提交 一份实体的证书申请书～上面有RA的签名。 11 如果使用了外部RA～CA要求RA保证RA所负责 的那部分证书申请程序的安全性～公布的CA商业 活动事项对此有所说明,原则1～第26条,。 12 如果使用了外部RA～CA要求外部RA在事件日志 中记录其活动。 13 如果使用了外部RA～CA应核实RA提交的材料的 真实性～公布的CA商业活动事项对此有所说明,原 则1～第26条,。 14 如果使用了外部RA～CA应检验证书申请书中RA 的签名的有效性。 15 CA或RA检查证书申请书中的错误或疏忽～公布 的CA商业活动事项对此有所说明,原则1～第25 条,。 16 CA检查实体的名称在CA的名录中是否唯一。 17 CA接受身份有效的实体提交上来的证书申请请 求。 18 如果CA发现公钥副本～证书申请请求将被拒绝～ 原有的证书也将被撤销。 2.2.2证书更新,非强制性, 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理保障证书更1 注册者的证书更新请求至少应包括以下几点:可识 新请求的准确性、权威性和完整性。 别的注册者姓名、证书的序列号,或识别证书的其 他信息,～以及要求的有效期以便CA或RA校验需 要更新的证书。 2 CA要求提出请求的实体使用私钥签署证书更新请 求～该私钥与实体已有的公钥证书上的公钥相对应。 3 CA或RA处理证书更新材料～以核实请求实体的身 份和请求更新的证书的有效性。 4 CA或RA验证证书更新请求上的签名的有效性。 5 CA或RA校验要求更新的证书是否存在～及其有效 性。 6 CA或RA验证请求的有效性～包括有效期的延长～ 是否符合公布的CA商业活动事项,原则1～第28 条,。 7 如果使用外部RA～CA要求外部RA在电文中向CA递交申请实 体的证书申请材料～电文上有RA的签名,证书更新要求,。 8 当使用外部RA时～RA应保障自己负责的那部分证书更新程序的 安全性～公布的CA商业活动事项对此有所说明,原则1～第26 条,。 9 如果使用外部RA～CA要求外部RA在事件日志中记录其行动。 10 如果使用外部RA～CA应验证RA递交的材料的真实性。 11 如果使用外部RA～CA应验证RA在证书更新请求上的签名是否 有效。 12 CA或RA检查证书更新申请书中是否有错误或疏忽。 13 CA或RA在注册者证书过期之前通知他们需要更新证书～公布的 CA商业活动事项对此有所说明,原则1～第27条,。 14 在生成并颁发更新后的证书之前～CA或RA应校验下面几条: a) 提交的证书申请材料上的签名是否有效 b) 需要更新的证书是否存在～其有效性如何 c) 请求～包括请求延长有效期～是否符合公布的CA商业活动 事项的要求,原则1～第27条,。 2.2.3证书密钥更新 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合1 注册者的证书密钥更新请求至少应包括以下内容:注册者可辨识理保障证书密钥更新请的名字、证书的序列号～以及要求的有效期以便CA或RA校验需求的准确性、权威性和要更新密钥的证书。 完整性。 2 CA要求请求实体使用私钥在证书密钥更新请求上签署电子签名～ 该私钥与请求实体已有的公钥证书上的公钥相对应。 3 CA或RA处理证书密钥更新请求～以证实请求实体的身份～并确 定需要更新密钥的证书的有效性。 4 CA或RA证实证书密钥更新请求上签名的有效性。 5 CA或RA核实需要更新密钥的证书是否存在～及其有效性。 6 CA或RA验证证书密钥更新请求是否符合公布的CA商业活动事 项的要求,原则1～第28条,。 7 如果使用外部RA～CA要求外部RA以电文的形式向CA提交请 求实体的证书密钥更新请求～该电文上有RA的签名。 8 如果使用外部RA～CA要求RA保障自己负责的那一部分证书 密钥更新程序的安全性～公布的CA商业活动事项对此有所说明 ,原则1～第26条,。 9 如果使用外部RA～CA要求外部RA将其活动记录在事件日志 中。 10 如果使用外部RA～CA应验证RA递交文件的真实性。 11 如果使用外部RA～CA应验证证书密钥更新请求上签名的有效 性。 12 CA或RA检查证书密钥更新请求是否存在错误或疏忽。 13 CA或RA在注册者证书过期之前通知他们有必要更新密钥。 14 在生成和签发密钥更新证书之前～CA或RA校验以下几条: a) 提交的证书更新资料上的签名 b) 需要更新的证书的存在情况及其有效情况 c) 请求～包括请求延长有效期～是否符合公布的CA商业活 动事项的要求,原则1～第28条,。 CA维持控制～以合理保障15 注册者已有的证书被撤销或过期之后～要求注册者根据CA的注证书撤销或到期之后的证册者注册程序来获取新的密钥更新证书,“用户注册”?2.2.1,～书密钥更新请求的准确公布的CA商业活动事项对此也有所说明,原则1～第29条,。 性、权威性和完整性。 2.2.4证书签发 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障1 CA采用适当的证书格式生成证书～该格式在公布的CA商业活新证书、更新的证书～以动事项中,原则1～第30条,。 及密钥更新了的证书的生 成和发放符合公布的CA 商业活动事项。 2 CA生成证书的活动符合ISO 9594/X.509～公布的CA商业活动 事项对此有所说明,原则1～第30条,。 3 有效期的设定符合ISO 9594/X.509～公布的CA商业活动事项对 此有所说明,原则1～第30条,。 4 扩展域的确定符合ISO 9594/X.509～公布的CA商业活动事项对 此有所说明,原则1～第30条,。 5 确立密钥用途扩展域的确定符合ISO 9594/X.509～公布的CA商 业活动事项对此有所说明,原则1～第30条,。 6 CA用CA签名私钥在请求实体的证书上签名。 7 CA在请求实体接受了证书之后才签发证书～公布的CA商 业活动事项对此有所说明,原则1～第31条,。 8 当使用RA时～CA通知RA证书什么时候签发给了注册者～ RA为注册者递交的证书申请请求。 9 只有当CA批准了证书更新请求后～CA生成并签署了新的 证书～该证书在有效期和CA签名上不同于过去的证书。有 关证书更新的规定参见“证书更新”?2.2.2 10 只有当CA批准了“证书更新”?2.2.3规定的证书密钥更新 的请求～CA才能生成并签署新的证书。 11 在证书签发之后～CA向请求实体发送外带通知。 2.2.5证书分配 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障证1 CA采用确立的机制,如目录型资料库,～使所有证书信赖者书一旦发放～根据发布的CA都能够利用CA发放的证书～公布的CA商业活动事项对此商业活动事项～注册者和证书有所说明,原则1～第32条,。 信赖者都能够利用完整准确 的证书。 2 证书一旦发放～CA便在资料库或其其他分配中张贴证 书～公布的CA商业活动事项对此有所说明,原则1～第32 条,。 3 只有获得授权的CA人员可以管理CA资料库或其他分配方 案。 4 监督管理CA资料库或其他分配方案的运行。 5 维护资料库或其他分配方案的完整性。 2.2.6证书撤销 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障证1 正如公布的CA商业活动事项所规定的,原则1～第33条,～书撤销基于获得批准的有效CA提供迅速的通报途径～以便于安全、正确的撤销以下内证书撤销请求。 容: a) 一个或多个实体的一个或多个证书 b) CA发放的一套证书～这些证书基于CA为生成证书而 使用的单独的公钥/私钥对 c) CA发放的所有证书～无论使用的是公钥还是私钥对 2 CA证实或要求外部RA校验请求撤销证书的实体的身份和 权力～公布的CA商业活动事项对此有所说明,原则1～第 33条,。 3 如果某RA接受了撤销请求～CA要求RA以经过批准的方 式向CA提交证书撤销请求～公布的CA商业活动事项对此 有所说明,原则1～第33条,。 4 如果外部RA接受了撤销请求并将该请求提交给CA～ CA应正式告知RA已经收到了撤销请求～公布的CA 商业活动事项对此有所说明,原则1～第33条,。 5 CA在撤销证书之后～更新CRL和其他证书状态查询机 制～公布的CA商业活动事项对此有所说明,原则1～ 第33条,。 6 CA在事件日志中记录所有的证书撤销请求及其结果。 7 CA或RA证实通知实体～他们的证书已经被撤销～公 布的CA商业活动事项对此有所说明,原则1～第33条,。 8 哪里支持证书更新～证书什么时候被撤销的～所有有效 的情况也都被撤销了。 2.2.7证书中止,非强制性, 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障证书基1 如公布的CA商业活动事项对此做出的说明,原则1～ 于被批准的有效证书中止请求上第34条,～CA提供快捷的通报方式～以便于安全正式 被中止。 的中止下面情况: a) 一个或多个实体的一个或多个证书 b) CA发放的一套证书～这些证书基于CA为生成证 书而使用的单独的公钥/私钥对 c) CA发放的所有证书～无论使用的是公钥对还是私 钥对 2 CA证实或要求外部RA校验请求中止证书的实体的身 份和权力～公布的CA商业活动事项对此有所说明,原 则1～第34条,。 3 如果某RA接受了中止请求～CA要求RA以经过批准 的方式向CA提交证书中止请求～公布的CA商业活动 事项对此有所说明,原则1～第34条,。 4 一旦中止证书～CA或RA便通知终端的实体～公布的 CA商业活动事项对此有所说明,原则1～第34条,。 5 处理证书中断请求～并检验其有效性～公布的CA商业 活动事项对此有所说明,原则1～第34条,。 6 CA在中止证书之后～更新CRL和其他证书状态查询机 制～公布的CA商业活动事项对此有所说明,原则1～ 第34条,。 7 证书中止只在允许的时间范围内得以实施～公布的CA 商业活动事项对此有所说明,原则1～第34条,。 8 当发放了证书中止证明～可以从以下三个方面来实施中止行 为: a) 无法使用CRL中列出的被中止的证书条目～导致用户 在中止期间无法处理事务。 b) CRL中列出的被中止证书的条目被同个证书的撤销条 目所替代 c) 清楚地将被中止的证书公布出来～从将条目从CRL撤 除。 9 被中止的证书的条目在CRL上的保留时间止于基本证书过 期时间～或中止期满为止～由两者之间的先发生者决定。 10 CA在取消证书中止之后立即更新CRL及其他证书状态查 询机制～公布的CA商业活动事项对此有所说明,原则1～ 第34条,。 11 CA核实或要求外部RA核实请求撤销证书中止的实体的身 份和权力。 12 证书中止以及撤销中止都记录在事件日志中。 2.2.8证书状态的信息处理 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障注1 所有相关实体都可以利用证书状态信息～公布的CA商业活册者和证书信赖者能够利用动事项对此有所说明,原则1～第35条,。 即时、完整以及准确的证书状 态信息,包括CRL和其他证书 状态查询机制,。 2 CA使所有证书信赖者都能利用确定的机制,如作为资料库 的目录,来访问CA发布的CRL～公布的CA商业活动事项 对此有所说明,原则1～第35条,。 3 CA在其发布的每一次CRL上加盖数字签名～实体就能以 此确认CRL的完整性以及发布的数据的有效性。 4 就算自上次发布CRL以来没有任何变化～CA也应该每隔 一段时间便发布一次CRL～公布的CA商业活动事项对此 有所说明,原则1～第35条,。 5 CRL至少应在证书的有效期结束之后才能取消已撤销的证 书的条目。 6 如果证书被中止～证书中止,暂停使用,条目以及证书本来 的启用日期和过期日期都应该保留在CRL上～直到证书正 常过期时为止。 7 将CRL存档～公布的CA商业活动事项对此有所说明,原则1～ 第35条,。 8 CA记录了CA每次发布的CRL序列号的单调增长情况,例如 1、2、3,。 9 CRL中列出了所有由CA发放的被撤销的未过期证书。 10 旧CRL保留一个适当的时间～公布的CA商业活动事项对此 有所说明,原则1～第35条,。 11 无论证书是过期了～还是被撤销或是中止了～都应在一个适当 的时间保留证书的副本～公布的CA商业活动事项对此有所说 明,原则1～第35条,。 12 如果采用了在线证书状态查询机制,例如OCSP,～CA要求证 书状态查询,例如查询OCSP,中包括所有公布的CA商业活 动事项,原则1～第35条,要求的资料。 13 从证书信赖者那里收到查询证书状态的请求后,例如～查询 OCSP的请求,～在满足以下条件的情况下～CA对证书信赖者 做出明确的答复: a) 请求电文的格式符合要求 b) 伺服主机能够提供相应服务 c) 请求中包含了伺服主机所需的信息～这些信息在公布的 CA商业活动事项有所说明,原则1～第35条,。 14 按照公布的CA商业活动事项的说明,原则1～第35条,～所 有应答电文上都有数字签名。 15 明确的应答电文包含了所有公布的CA商业活动事项对此有所 说明,原则1～第35条,所要求的信息～。 16 如果上述三个条件中有一个条件没有满足～CA便出示一个签 名或未签名的错误电文～公布的CA商业活动事项对此有所说 明,原则1～第35条,。 2.2.9集成电路卡,ICC,的生注:依据本节目的～集成电路卡,如智能卡,上安装了承载注册者命周期管理,非强制性, 私钥和证书的装臵。 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障CA1 作为发卡人的CA,或RA,～控制ICC的个人化,下载公共数,或RA,安全的控制了ICC据文件,CDF,的数据及其相关加密密钥,。 的准备工作。 2 区分ICC、发卡人以及持卡人的公共数据由发卡人保存在ICC CDF中。CDF的激活由作为发卡人的CA,或RA,通过安全 的控制手段来完成。 3 在激活CDF之后～ICC就能显示活动的CDF状态。 4 CA或,RA,记录ICC个人化和CDF的活动情况。 CA维持控制～以合理保障CA5 ICC中储存的应用供应商数据存放在应用数据文件中,或RA,安全控制ICC应用数,ADF,。作为发卡人的CA安全的控制ADF的分配,分据文件的准备情况。 配集成电路的存储区,。 6 作为应用供应商的CA～控制ADF的个性化,下载与ADF 有关的密钥和数据,。 7 作为发卡人的CA采取安全的控制手段～控制ADF的活 动,持卡人为使用ADF而做的准备,。 8 只有当CDF处于激活或重新激活状态时才能激活ADF。 9 在激活ADF之后～ICC显示ADF的活动状态。 10 CA记录ADF的分配、个人化以及活动状态。 CA维持控制～以合理保障在发11 只有将ICC转变为个人化工具之后才能发放ICC。 放ICC前CA准许赋予ICC以可 用性。 12 只有当CDF处于活动状态或重新激活状态时才能使用 ICC。 CA维持控制～以合理保障CA13 在分配之前安全保管ICC。 ,或RA,安全保管和分配ICC。 14 ICC的接收、激活以及分配都记录在事件日志中。 15 ICC被安全的分配～公布的CA商业活动事项对此有所说 明,原则1～第38条,。 CA维持控制～以合理保障CA16 只有作为应用供应商的CA才能停止ADF的活动。 安全控制ICC的失活和重新激 活工作。 17 只有作为发卡人的CA才能停止CDF的活动。 18 在作为发卡人的CA控制下重新激活CDF。 19 在作为应用供应商的CA控制下重新激活ADF。 20 记录ADF的去活情况、CDF的去活情况、CDF的重新激 活和ADF的重新激活情况。 CA维持控制～以合理保障在ICC21 作为应用供应商的CA控制ADF的终止。 交还给CA,或RA,之后～CA 安全停止了它的使用。 22 CDF的终止由作为发卡人的CA控制。 CA维持有效控制～以合理保障以下内容: ? 注册者和第三责任方的信息只对获得授权的个人开放～不得在公布 的CA商业活动事项之外使用这些信息, ? 维护密钥和证书的生命周期管理的连续性, ? 妥善授权并实施CA系统发展、维护和运行工作～以保持CA系统的 完整性。 标准 控制说明 ,基于“CA控制程序 详细内容参见ANSI X9.79标准草案, 3.1证书作业准则,CPS,和证书改控制一般包括但不仅限于以下几点: 政策(CP)管理 CA维持有效控制～以合理保障有1 CA组织有一个管理小组～该小组有最终的决定权并负效管理和控制CPS和CP。 责规定和批准CA的证书作业准则,CPS,。 2 享有最终决定权的管理小组有权制定政策～并负责证书 政策,CP,的审批工作。 3 政策管理权力机构,或同等组织,负责评估工作～以评 价商业风险并决定适用于以下情况的CP和/或CPS中 应有那些安全要求和运作程序: a) 密钥生命周期管理控制 b) 证书生命周期管理控制 c) CA的环境控制 4 CA根据确定的审查过程批准和修改CPS～审查内容包 括实行CPS的责任。 5 CA使所有适当的注册者和证书信赖者都能利用公共 CPS。 6 所有注册者和证书信赖者都能获得CA的CPS的修订 内容。 7 根据确定的审查过程审批和修改CP～审查内容包括实行CP 的责任。 8 有一个确定的审查程序以保障CA的CPS支持CP。 9 CA使所有核实的注册者和证书信赖者都能够利用CA所支 持的CP。 10 所有注册者和证书信赖者都能获得CA支持的CP的修订信 息。 3.2安全管理 该控制一般包括但不仅限于以下几点: CA维持有效控制～以适当保1 信息安全政策文件,安全政策,得到了管理层的批准～通过障信息安全工作在正确的管出版向所有合适员工发送。 理指导和支持下进行。 2 安全政策中包含了信息安全的定义、其总体目标和覆盖范 围～以及作为信息交换机制的信息安全的重要性。 3 安全政策说明了管理的意图～次要目标和信息安全原则。 4 安全政策解释了什么是安全政策、原则、标准以及与组织保 持一致性的重要性～包括: a) 与法规和合同要求的一致性 b) 安全教育要求 c) 病毒和其他恶意软件的防治和检测 d) 商业活动连续性管理 e) 违反安全政策的后果 5 安全政策规定了信息安全管理的广义和狭义责任～包括报告 威胁安全的事件。 6 安全政策说明了支持安全政策的其他可参考文件。 7 审查过程是确定的～包括实施安全政策的责任和审查时 间。 CA维持有效控制～以适当保障8 高级管理人员和/或高级信息安全管理委员会确保有清晰组织内部的信息安全得到了妥可操作的管理方法支持安全措施的实施。 善管理。 9 管理小组或安全委员会协调各信息安全措施的执行情况。 10 明确保护私人财产的责任和开展特定安全措施的责任。 11 确立并实施新的信息处理设备的管理程序。 CA维持有效控制～以适当保障12 依据特定程序严格控制第三方对CA设备和系统的物理和第三方使用CA的设备、系统和逻辑接近～该第三方包括在场的订约人和生意伙伴或合伙信息资源的安全。 人。 13 如果CA出于商业需要允许第三方使用CA的设备和系 统～那么应做一个风险评估以确定安全隐患并制定专门的 安全控制要求。 14 安排第三方使用CA的设备和系统应根据正式的合同～该 合同对所有必要的安全注意事项都做了要求。 CA维持有效控制～以适当保障15 如果CA从外部引进对所有或一部分的信息系统、网络或当其他组织或实体代行CA的某桌面环境的管理和控制方法～应在合同中强调CA的安全些职能时～信息安全得到了有效要求～该要求也要到签订合同的另一方的认可。 控制。 16 一个CA服务提供商可能会将CA的一部分职能和相应的 运作工作转交给别人代理～CA服务提供商最后有责任完 成其职能～规定和维护其证书作业准则,即CPS,。 3.3资产分类及管理 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理1 确立主要的CA资产所有人～并规定他们的责任～以合理控制资保障CA的资产和信息得到产的维护工作。 适当级别的保护。 2 为重要的CA资产制定详细的目录清单。 3 CA对信息进行分类～并针对信息采取相关的保护性控制～充分 考虑到信息分享和限制的商业需要～以及产生的与商业需要相关 的商业影响。 4 确立程序以保证信息的标签和处理都基于CA信息分类方案。 3.4人员安全 该控制一般包括但不仅限于以下几点: CA维持有效控制～以合理1 组织安全政策中规定的安全角色和安全责任在工作说明中明确保障CA员工以及聘用活动列出。 有助于提高并支持CA运作 的可信度。 2 要聘用永久编制的员工～应在他们申请职位的时候就核实他们的 情况。CA的政策和程序规定核实重要职位员工以及包括清洁工 的其他员工的背景信息和无过错记录。 3 被聘者应签署一份保密协议,非公开的,～作为聘用的先决条件。 4 对合同员工的控制包括: a) 对签约员工的守约要求 b) 合同要求签约员工对因自己行为造成的损失承担赔偿责任 c) 审核监督签约员工 5 根据组织政策和程序～组织的所有员工和相关的第三方用户都接 受适当的培训。CA的政策和程序规定如下: a) 每一职务的培训要求和培训程序 b) 每一职务的再次培训时间和培训方法 6 定期检查与密钥管理和证书管理有关的关键职位的人员其可靠 程度如何。 7 对于违反组织安全政策和程序的员工～应有一个惩戒性的规定予 以处罚。CA的政策和程序规定了对于员工未经许可的行为、滥 用授权行为以及滥用系统的行为予以惩罚。 8 当一个员工被解雇时～应即使采取适当的措施以保证安全控制不 因此事件而受到不良影响。 3.5物理和环境安全 该控制一般包括但不仅限于以下几点: CA维持有效控制～以适当保1 在CA设备所在地周围清晰的划定一条界线,即物质屏障,障只有少数获得授权的人员以便从物理上保护CA设备。 才能从物理上接近CA的设 备～CA设备不被环境危险所 影响。 2 装有的CA设备的大楼或场所周围的界线非常的牢固,即屏 障中间不能有缝隙～否则就可能发生闯入事件,。 3 设立接待地区并由人值班看管～或采取其他方式来控制物理 上接近CA运作所在的大楼或场所～只有获得授权的人员才 能进入这些地点。 4 为了防止非法进入和环境污染～应设立适当的物理屏障,例 如～从实际地板延伸倒实际天花板的屏障～对比从活动地板 延伸到吊顶的屏障,～CA公布的商业活动事项对此有所说 明,原则1～第43条,。 5 CA设备周围界线上的所有防火门都安有预警设备～并用力关 牢。 6 安装入侵检测系统～并定期检查～CA设备所在大楼的外门都在 该系统的监测范围之内。 7 如果CA设备未被使用～设备将发出预警信号。 8 物理上锁闭CA设备～未使用时定期检查。 9 不允许在没有监控的情况下使用CA设备～这既是出于安全考 虑也是为了防止恶意行为发生的可能。 10 所有员工都必须佩戴醒目的身份证明～鼓励员工举报那些没有 佩戴醒目身份证明的员工。 11 采用鉴别控制手段控制CA设备的使用情况～只有获得授权的 员工能够使用CA设备～公布的CA商业活动事项对此有所说 明,原则1～第43条,。 12 所有进入和离开CA设备的人员都必须登记,这是对所有接近 行为做的审核追踪,。 13 监控参观CA设备的人～记录下他们的参观和离开时间。 14 提供支持服务的第三方人员可以有限制的接近CA设备～以保 证只有在需要时才能接近CA设备～并且监督其接近活动。 15 CA设备的接近权利要定期审核更新。 CA维持有效控制～以适当16 设备的应妥善放臵～保护其不受环境危险的威胁和非法使用的避免资产损失、损害或威影响。 胁～以及商业活动的中断。 17 设备不受断电或受其他的电力供应异常情况的影响。 18 电力线路和通讯线路由于承载了数据或支持CA的服务活动～ 也应避免受到拦截或损坏。 19 设备的维护应遵循生产商的说明和/或其他呈文规定～以确保其 持续的可用性和完整性。 20 设备中所有载有存储媒介的零件,即固定硬盘,都应在处理 或重复使用之前检查其是否存有任何敏感数据。存有敏感信 息的存储设备在处理或重复使用前应进行物理销毁或安全 覆盖。 CA维持有效控制～以适当避21 在不需要敏感或重要的商业信息时～或是未使用CA设备之免信息损坏或信息丢失～以及时～应将这些信息锁藏起来。 信息处理设备的损坏或丢失 情况的发生。 22 个人电脑和工作站点在无人管理时不能登录,如果没有使 用～应通过键封锁、口令或其他控制方法保护它们的安全。 23 在未授权的情况下～属于组织的设备、信息以及软件都不能 带出其原来的所在地。 3.6操作控制 CA维持有效控制～以合理保1 CA运行程序以文件的形式确定下来并加以实行。 障CA信息处理设备的正确和 安全运行。 2 确立了正式的管理责任和管理程序～控制所有有关CA设 备、软件和运行方法的变动。 3 义务和责任范围分开～从而降低非法改变或滥用信息或服 务的行为的发生几率。 4 开发设备和测试设备与运行设备分开。 5 在引进外部设备管理服务之前～应评估风险～并就合理控 制方法与签约伙伴达成一致～并将该方法写入合同。 CA维持有效控制～以适当保6 监测生产量需求～制定未来生产量要求计划以确保足够的障CA系统故障几率的最小处理能力和存储能力。 化。 7 在认可新信息系统、系统更新以及系统新版本之前确立认 可标准～并进行适当的系统测试。 CA维持控制～以适当保障8 确立监测和防御控制的方法以避免病毒和恶意软件的破坏～CA系统和信息的完整性不并提高用户的警惕性。 受病毒和恶意软件的破坏。 CA维持控制～以适当保障9 确定并实行一个正式的报告程序和一个事件反应程序～以便通过事件报告和反应程序～在接收到事件报告之后立即采取行动。 减少因危机事件和故障引起 的损失。 10 要求CA系统的用户报告发现的情况～这些情况已经或是怀 疑是系统或服务上的安全弱点或危险。 11 确定并实行软件故障报告程序。 12 确定并执行特定程序～以保证失误得到报告～并采取了正确 的行动。 13 计算并检测事件和故障的类型、大小以及损失。 14 确定并履行事件管理责任和管理程序～以保证对安全事件的 快速、有效和有序反应。 CA维持控制～以合理保障15 管理可移动的电脑存储媒介的程序要求: 安全处理存储媒介～以保护a) 如果不再需要存储媒介中过去保存的内容～那么应将内介质不被损坏、盗窃和非法容删除。该存储媒介从组织转移出来～可重复使用, 使用。 b) 从组织转移任何存储媒介都应得到授权,登记所有的转 移行为～以便与审计追踪使用, c) 所有媒介都保管在一个安全的环境中～保管方法遵循生 产商的说明。 16 如果存储媒介不再有用～应进行安全的处理。 17 确立并实施信息处理和存储工作～以防止对信息的非法处理 或使用。 18 防止非法使用系统文件。 3.7系统访问管理 该控制包括但不仅限于以下几点: 用户访问管理 CA维持控制～以适当保障只有 获得授权的人才有权访问CA系 统。 1 访问控制政策规定了访问控制的商业要求～该政策至少包 括以下几点: a) 角色及其对应的访问许可 b) 每个用户的身份识别和鉴定方法 c) 义务分离 d) 执行特定CA活动的人数要求,即m〃n原理, 2 为访问CA信息系统并享受服务～实施正式的用户注册和 取消注册程序。 3 严格限制和控制特权的授予和使用。 4 采用正式的管理方法～控制口令的分配情况。 5 定期审核用户的访问权利。 6 用户在选择和使用口令时遵循确定的政策和程序。 7 用户必须确保无人看管的设备得到妥善保护。 8 用户只能直接访问他们授权享用的服务。 9 控制用户终端到电脑服务器的路径 10 如果允许远程用户访问～那么应鉴明远程用户的身份。 11 校验与远程电脑的连接。 12 安全控制访问诊断端口。 13 实施控制活动,如防火墙,～以避免在外部网的第三方访 问CA的内部网。 14 根据CA的访问控制政策～采取控制措施～限制用户使用一 些服务,例如HTTP～FTP,。 15 采取常规控制～以保证电脑连接和信息传输不违反组织的商 业应用程序的访问控制政策。 16 组织所使用的所有网络服务的安全属性都记录在CA的文件 之中。 操作系统访问控制 17 采用终端自动识别系统以验证与特定场所和便携式设备的 连接的真实性。 18 经过安全的登录过程才能访问CA系统。 19 所有用户都有一个唯一的标识,用户ID,～该标识符只能由 用户自己使用～有了这个标识符就可以追踪网上行为人的责 任。 20 建立一个口令管理系统以便为高质量的口令提供一个有效 的交互式工具。 21 限制和严格控制系统使用程序的使用。 22 如果需要～在风险评估的基础上～为可能受到胁迫的用户提 供胁迫预警服务。 23 一段特定时间内没有使用CA系统的服务终端～应将其中断～ 以防止非法访问。 24 控制连接的次数～以便进一步保护高风险应用程序的安全 性。 应用程序访问控制 25 依据访问控制政策～限制对信息和应用程序系统的访问。 26 敏感系统需要专门的,隔离,计算环境。 3.8系统发展和维护 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障1 对新系统或系统增强的商业要求规定了控制要求。 对CA系统的发展和维护工 作进行专门的授权～从而确 保CA系统的完整性。 2 确立并实施变更控制方法～以管理操作系统的软件安装工 作。 3 确立并实施变更控制方法～以管理预定软件释放和调整工 作。 4 确立并实施变更的控制方法～以管理应急软件的修理工作。 5 保护并控制试验数据。 6 严格控制对程序资源库的访问。 7 采用正式的变动控制方法严格控制任何变更活动～以最大限 度的降低信息系统瘫痪的风险。 8 当操作系统发生变化时～应检查并试验所有应用系统。 9 不提倡改动软件包～严格控制根本性的改动。 10 严格控制软件的购买、使用和修改工作～并检查其中是否存 在隐蔽信道和木马程序。 11 控制并保证外部提供的软件发展服务的安全性。 3.9商业活动连续性管理 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障发1 CA有一套管理方法～以发展并维护其商业活动连续性计生灾难事件时运行的连续性。 划。 2 CA有一个商业活动连续性计划的设计战略～该战略的基础 是合理的风险评估。 3 CA有商业活动连续性计划～该计划保障在发生重大危机事 件导致商业活动中断之后～CA的商业活动能够维持或恢 复。公布的CA商业活动事项对此已有说明,原则1～第44 条,。 4 CA的商业连续计划框架要求连续性计划应强调以下几点: a) 启动计划的条件 b) 应急过程 c) 撤退过程 d) 恢复过程 e) 维护计划 f) 提高意识和开展教育的要求 g) 个人的责任 5 应定期检验商业活动连续性计划～以保证其符合时宜并仍有 效力。 6 应定期检查并更新商业活动连续性计划～以保证它具有连续 的有效性。 7 商业活动连续性计划规定了可以接受的系统中断时间、恢复 时间以及每次故障的间隔时间～公布的CA商业活动事项中 对此也有说明,原则1～第44条,。 8 CA商业活动连续性计划规定了灾难之后恢复方法和过程～用 于在CA系统的一个或多个重要组件,包括硬件、软件和密 钥,发生故障之后的恢复工作。 9 如果计算资源、软件或数据被破坏或怀疑被破坏～CA商业活 动连续性计划规定了恢复方法。 10 在发生自然灾害或其他灾害之后～而安全环境尚未在原地或 是远程热站点重新建立～在这一期间里～CA商业活动连续性 计划规定了保护CA设备的方法。 11 应定期备份重要的商业信息和软件～备份方法和规定参见公 布的CA商业活动事项,原则1～第44条,。这些备份文件的 安全要求与原信息和软件的安全要求相同。 12 用于后备设备和备份媒介都放在安全的地方～以避免原场 所发生的灾害造成损失～公布的CA商业活动事项对此有 所说明,原则1～第44条,。 CA维持控制～以合理保障出13 CA的商业活动连续性计划认定CA签名私钥泄密或怀疑现CA签名私钥泄密情况时～泄密的情况都属于灾害事件。 商业活动运行保持连续性。 14 如果出现或怀疑出现CA私钥泄密事件～采取的恢复措施 包括撤销或重新颁发所有带有CA私钥签名的证书。 15 当CA私钥被泄密、CA的公钥又被撤销时～采用的恢复措 施包括以下几点: a) 如何重新建立一个安全的环境 b) CA原来的公钥是如何被撤销的 c) 如何向用户提供新的公钥 d) 如何重新向主体颁发证书 16 如果CA必须更换其根私钥～应采取措施安全正确地撤销 以下事项: a) 旧的CA根公钥 b) CA签发的所有证书～这些证书的签发都以被泄密的 CA私钥为基础 c) CA所有的从属私钥及其对应的证书 17 CA商业活动连续性计划有关密钥泄密的内容规定～应该 通知什么人～在使用系统软件和硬件、对称密钥和非对称 密钥、早先生成的签名以及加密数据的情况下应采取什么 样的行动。 CA维持控制～以合理保障:18 将终止情况通知受影响的实体～将相关的CA存档记录转CA通过停止提供服务～注册移到安全的地方保管～对此CA都规定了相关方法和过程～者和证书信赖者受到的影响CA商业活动事项对这些也有说明,原则1～第40条,。 能够最小化。 3.10监测和合规性 该控制包括但不仅限于以下几点: CA维持控制～以合理保障1 所有相关的法律、规定以及合同要求对每个信息系统都有清 CA符合法律规定。 晰的定义和说明。 2 实施适当的措施～以保证物品的使用和专利软件的使用符合 法律有关知识产权的规定～公布的CA商业活动事项对此也有 说明,原则1～第42条,。 3 确保组织的重要记录不被遗失、毁坏和窜改。 4 根据相关法律规定～实施控制以保护个人信息。 5 管理层对信息处理设备的使用实行授权～防止滥用这些设备。 6 实行控制以确保对加密手段的使用或接近符合国家协议、法 律、规定或其他条文。 7 CA公布的商业活动事项中规定,原则1～第41条,～CA的 保密政策和方法规定: a) CA或RA必须保密的信息种类 b) 非保密信息的种类 c) 谁有权被告知证书撤销和中止的原因 d) 关于如何向执法人员公开信息的政策规定 e) 作为民事诉讼材料的信息公开活动 f) CA或RA可以应所有者要求公开信息的条件 g) 可以公开保密信息的其他情况。 CA维持控制～以合理保障与CA8 管理者有责任确保自己职责范围之内的安全措施得到了安全政策及措施的一致性。 正确的实行。 9 定期检验CA运行～以保证与安全政策和标准保持一致 性。 10 定期检查CA系统～看系统是否符合安全作业标准。 CA维持控制～以合理保障系统11 计划并实施操作系统审计工作～以便最大限度的降低影响审核工作有效性的最大化和审商业运作的风险。 核工作受到影响的最小化。 12 控制对系统审核工具的使用～以减少误用或滥用的可能 性。 CA维持控制～以合理保障及时13 确立使用CA系统的监督方法～定期审查监督工作的结发现是否存在非法使用CA系统果。 的情况。 3.11事件记录工作 该控制一般包括但不仅限于以下几点: CA维持控制～以合理保障对重1 CA依据需要制作自动的,电子的,以及手动的事件日志。 要的CA环境事件、密钥管理事 件以及证书管理事件进行准确 完整的记录。 2 所有的日志条目包括以下一些内容: a) 加入条目的日期和时间 b) 条目的序列号,自动日志条目, c) 条目的种类 d) 条目来源,例如～终端、端口、位臵、用户, e) 加入条目的实体的信息 3 CA记录下下列与密钥生命周期管理有关的事件: a) 生成CA,如适用～以及注册者,密钥 b) 安装手动加密密钥及其结果,写出执行者的身份, c) 备份CA,如适用～以及注册者,密钥 d) 保管CA,如适用～以及注册者,密钥 e) 恢复CA,如适用～以及注册者,密钥 f) 托管CA,如适用～以及注册者,密钥,非强制性, g) 使用CA密钥 h) 将CA,如适用～以及注册者,密钥存档 i) 收回正在服务的通过密钥加密的材料 j) 销毁CA,如适用～以及注册者,密钥 k) 查明授权密钥管理工作的实体的情况 l) 查明处理通过密钥加密材料的实体的情况,比如密钥构 成或储存在便携设备或媒介中的密钥, m) 保管密钥以及承载密钥的设备或媒介 n) 私钥泄密危险 4 CA记录下列与证书生命周期管理有关的事件: a) 收到证书申请请求——包括最初的申请请求、更新请求 和密钥更新请求 b) 为获得证书而提交公钥 c) 变动与某实体关系 d) 证书的生成 e) CA公钥的分配 f) 证书撤销请求 g) 证书中断请求,如适用, h) 证书撤销清单的生成和公布 i) 证书过期之后采取的措施 5 CA记录下列有关加密设备生命周期管理的事件: a) 设备的接收 b) 保管设备或结束保管 c) 设备的使用 d) 设备的拆卸 e) 指定需要服务或修理的设备 f) 设备的淘汰 6 CA记录,或要求RA记录,下列证书申请信息: a) 申请人提交的证明文件的种类 b) 如适用～提交的证明材料的唯一识别数据、号码或两者 的结合,例如～申请人的驾照号码,的记录 c) 申请和证明文件副本的保管地点 d) 接受申请的实体的身份 e) 如果有证明文件～鉴别证明文件有效性的方法 f) 如适用～作为接收方的CA或递送方的RA的名称 7 CA记录以下敏感的安全事件: a) 敏感的安全文件、包括事件日志的读取或记录 b) 敏感的安全数据的删除 c) 更换安全档案 d) 校验机制的成功和不成功的使用情况,包括许多失败的 鉴定工作, e) 系统崩溃、硬件故障以及其他异常情况 f) 电脑操作人员、系统管理人员和系统安全高级职员采取 的措施 g) 变更与某实体的关系 h) 绕过加密技术或校验程序的决定 i) CA系统或CA系统的其他构件的访问情况 8 事件日志不记录任何私钥的纯文本价值。 9 为了记录准确信息～CA电脑系统的时钟与事件进展保持一 致。 CA维持控制～以合理保障10 采取一种保存当前或已经存档的事件日志的形式～以避免对当前以及入档事件日志的保它们进行任何非法的修改或销毁情况的发生。 密性和完整性。` 11 避免当前或已经存档的自动事件日志被修改或替换情况的发 生。 12 签署事件日志的私钥不得被用于其他用途。 CA维持控制～以合理保障13 CA定期对事件日志的数据进行存档～这在公布的CA商业活事件日志的存档工作依据公动事项中有所说明,原则1～第45条,。 布的商业活动事项得到了了 完整的保密的实施。 14 评估风险～以确定保存入档事件日志的合理时间期限。 15 CA在另一个安全的场所保存入档事件日志～保存时间长度已 经确定。 CA维持控制～以合理保障16 只有获得授权的人出于正当的商业或安全目的才能提取当前事件日志定期由获得授权的事件日志或入档日志。 专人审查。 17 定期查看事件日志～CA公布的商业活动事项对此有所说明 ,原则1～第45条,。 18 对当前及入档的事件日志的查看内容包括:事件日志的完整 性～以及对异常情况、非授权行为或可疑行为的调查工作和 后续行动措施。