CnSCA数字证书运作声明.doc

CnSCA 数字证书运作声明 版本 1.1 2004年5月18日 CnSCA CPS Version 1.1 18th,May,2004 上证所信息网络有限公司版权声明 本文版权归中国证券CA中心（以下称CnSCA或CnSCA中心）所有。本文中所涉及的 “CnSCA”、“CnSCA中心”、“中国证券CA中心”是由上证所信息网络公司建设的CA中心独立持有的专用名称。 未经CnSCA中心的书面同意，本文的任何部分不得以任何方式、任何途径进行复制、存储、调入网络系统检索或传播。 然而，在满足下述条件下，本文可以被授权以在非独占性的、免收版权许可使用费的基础上进行复制及传播： I．前文的版权说明和上段主要内容将标于每个副本开始的显著位置。 II．副本应按照CnSCA中心提供的文件准确、完整地复制。 CnSCA中心拥有对本文的最终解释权。目录 1 引言 1 1.1 概述 1 1.2 CnSCA认证体系 1 1.2.1 认证和管理中心 2 1.2.2 CA中心 2 1.2.3 KM中心 2 1.2.4 RA中心 2 1.2.5 业务受理点 3 2 基本条款说明 4 2.1 服务 4 2.2 责任与义务 4 2.2.1 CnSCA的责任与义务 4 2.2.2 证书主体的责任和义务 5 2.3 费用说明 6 2.4 审计 6 3 认证运作规范 8 3.1 证书类型 8 3.2 证书生命周期 9 3.3 鉴别与授权 10 3.3.1 CA与RA的鉴别与授权 10 3.3.2 用户实体的鉴别 11 3.4 证书申请 11 3.4.1 申请条件 11 3.4.2 申请程序 11 3.4.3 申请信息 12 3.4.4 再申请条件 12 3.5 证书发放 12 3.6 证书使用 13 3.7 证书注销/过期 14 3.8 CnSCA证书费用 15 3.8.1 证书申请费用 15 3.8.2 证书更新费用 16 3.8.3 证书介质更换费用 16 3.8.4 证书注销费用 16 3.8.5 证书介质解锁费用 16 4 安全控制 17 4.1 人员安全控制 17 4.1.1 岗位设置 17 4.1.2 人员要求 19 4.2 物理安全控制 20 4.3 流程安全控制 20 4.4 技术安全控制 21 4.4.1 系统安全控制 21 4.4.2 数据安全控制 21 5 其他规定 23 5.1 适用法律 23 6 版本变更 24 6.1 变更流程 24 6.2 公布策略 24 附录：术语表 25 引言 概述 认证机构（国际通称“CA”），是指经营数字认证业务，对数字证书的申请人发放、管理、取消数字证书同时提供数字签名识别、认证服务等的机构，数字证书（下称“证书”）指存在于计算机上的一个记录，是由CA签发的一个声明，证明证书主体（“证书申请人”被发放证书后即成为“证书主体”）与证书中所包含的公钥的唯一对应关系。证书包括证书申请人的名称及相关信息、申请人的公钥、签发证书的CA的数字签名及证书有效期等内容。 中国证券CA中心（以下称CnSCA或CnSCA中心）是由上证所信息网络有限公司所建设并运维的CA认证体系，面向证券行业提供服务，为证券行业的互联网络的交易和作业双方建立信任关系，保证双方主体身份的真实性，为信息的保密性、完整性及操作的不可抵赖性提供全面的服务。 CnSCA基于公共密钥基础设施（PKI）技术构建，并通过了国家密码主管部门的安全性审查，具有权威性、可信任性及公正性。 CnSCA认证体系内的实体和CnSCA数字证书持有者，必须完整地理解和执行本文所规定的条款，并承担相应的责任和义务。 CnSCA认证体系 CnSCA确保整个认证体系均采用一致的证书管理策略，以便能在不同的横向或纵向信任服务体系之间建立起信任链的互连。全网一致的策略管理功能是通过认证和管理中心来实现的，该机构负责设计整个CnSCA认证体系结构，制定数字身份证书策略的框架，并指导各级职能CA的业务工作。下属的各基准认证体系CA中心的策略管理机构均将按照认证和管理中心所制定的证书策略来制定本认证子体系内部适用的证书策略（在保证与根证书策略相一致的前提下），从而保证整个认证体系所采用的信任策略的一致性。 CnSCA的信任链结构遵循传统的树状结构，即按照认证和管理中心、证书认证中心（CA中心）、数字证书审核注册中心（RA中心）和CA业务受理点四级加以组织。另外，CnSCA建设密钥管理中心（KM中心）对密钥进行管理。 认证和管理中心 认证和管理中心：是整个数字证书安全认证子系统的源点，是数字证书安全认证子系统的信任基准点，也是整个信任服务体系最终信任源和最高管理机构。其职责主要包括证书策略的管理、CA根证书的发放与管理、下级CA的设立审核及管理、信任