JR-T0118-2015 金融电子认证规范.pdf
《JR-T0118-2015 金融电子认证规范.pdf》由会员分享,可在线阅读,更多相关《JR-T0118-2015 金融电子认证规范.pdf(23页珍藏版)》请在冰点文库上搜索。
ICS35.240.40A11JR中华人民共和国金融行业标准JR/T01182015金融电子认证规范specificationforfinancialelectronicauthentication2015-10-27发布2015-10-27实施中国人民银行发布JR/T01182015I目目次次前言.III引言.IV1范围.12规范性引用文件.13术语与定义.14缩略语.35金融电子认证管理.45.1基本要求.45.1.1对第三方CA的基本要求.45.1.2对金融机构自建CA的基本要求.45.2技术要求.45.2.1格式及名称.45.2.2身份鉴别.45.2.3证书生命周期操作.65.2.4授权管理.75.2.5技术安全控制.85.2.6数字签名验证服务.95.3管理要求.95.3.1人员管理.95.3.2归档管理.105.3.3业务持续性保障.115.3.4风险评估.125.3.5终止业务.126金融电子认证应用.126.1数字证书与应用的关联.126.2数字证书及密钥安全.126.2.1安全存储介质要求.126.2.2服务器证书保护.146.3电子认证技术实现.146.3.1数字证书验证技术实现要求.146.3.2数字签名技术实现要求.146.3.3用户身份认证技术实现要求.146.3.4系统身份认证技术实现要求.146.3.5代码保护技术实现要求.156.4数字证书应用要求.156.4.1数字证书要求.156.4.2用户身份认证.156.4.3系统身份认证.156.4.4操作完整性及抗抵赖保证.15JR/T01182015II6.4.5机密性.156.4.6数字签名时间戳要求.156.4.7数字签名保存要求.15参考文献.17JR/T01182015III前言本标准按照GB/T1.1-2009给出的规则起草。
本标准由全国金融标准化技术委员会(SAC/TC180)提出并归口。
本标准牵头起草单位:
中国人民银行科技司、中国金融认证中心。
本标准参与起草单位:
中国工商银行、中国农业银行、中国建设银行、招商银行、平安银行、农信银资金清算中心、北京数字认证股份有限公司、上海市数字证书认证中心有限公司、中国电子信息产业发展研究院。
本标准主要起草人:
王永红、李晓枫、杨竑、陆书春、陈立吾、郭全明、王小青、王梅、吴金海、车珍、李阳、董贞良、张行、赵宇、龚喜杰、赵义斌、魏志杰、廖泉、赵乔伟、肖晗、闫晋国、黄薇、刘华军、仲海港、陈梦霄、李强、国枫、李珂、张晓东、吴玉洁、熊少军、陈曦、钟震江、时建军、林雪焰、李向锋、孙菲、刘权。
JR/T01182015IV引言为保障金融交易安全和客户资金安全,电子认证服务在金融领域获得广泛应用,既有金融机构自建的电子认证系统的情况,也有由第三方电子认证服务机构(以下简称第三方CA)提供的电子认证服务。
为了对在金融领域提供电子认证服务进行规范,提高行业应用水平,特制定本标准。
本标准严格遵循电子签名法、电子认证服务管理办法和电子认证服务密码管理办法的相关规定,同时根据金融行业的特点参考金融行业相关标准规范而制定。
行业主管部门另有规定的,遵循主管部门的相关规定。
JR/T011820151金融电子认证规范1范围本标准规定了金融电子认证机构及自建电子认证系统的机构所应遵循的要求,本标准第5章“金融电子认证管理”适用于在金融领域提供电子认证服务的机构,包含为金融机构提供电子认证服务的第三方电子认证机构、自建电子认证系统并为自身客户提供服务的金融机构和非银行支付机构。
上述机构为内部员工提供电子认证服务的可参考本标准。
本标准第6章“金融电子认证应用”适用于应用电子认证服务的金融机构和非银行支付机构。
外资金融机构应用金融电子认证服务时可参考本标准。
行业主管部门另有规定的,遵循主管部门的相关规定。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T19713-2005信息技术安全技术公钥基础设施在线证书状态协议GB/T20520-2006信息安全技术公钥基础设施时间戳规范GB/T20988-2007信息安全技术信息系统灾难恢复规范GB/T25061-2010信息安全技术公钥基础设施XML数字签名语法与处理规范GB/T25064-2010信息安全技术公钥基础设施数字签名格式规范GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GM/T0009-2012SM2密码算法使用规范GM/T0005-2012随机性检测规范GM/T0015-2012基于SM2密码算法的数字证书格式规范GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范3术语与定义下列术语和定义适用于本文件。
3.1电子认证电子认证electronicauthentication基于PKI的数字签名认证技术。
3.2电子认证机构电子认证机构certificationauthority电子认证服务机构certificationauthority对数字证书进行全生命周期管理的实体。
JR/T0118201523.3注册机构注册机构registrationauthority受理数字证书的申请、更新、恢复和注销等业务的实体。
3.4电子认证系统电子认证系统certificateauthenticationsystem对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。
3.5电子认证业务规则电子认证业务规则certificationpracticestatement关于CA在整个数字证书服务生命周期中的业务实践(如签发、注销、更新)所遵循规范的详细描述和声明,并提供相关业务、法律和技术方面的细节。
3.6电子认证服务电子认证服务electroniccertificationservice为数字签名相关各方提供真实性、可靠性验证的活动。
3.7私钥私钥privatekey非对称密码算法中只能由拥有者使用的不公开密钥。
3.8公钥公钥publickey非对称密码算法中可以公开的密钥。
3.9证书策略证书策略certificatepolicy一套指定的规则集,用以指明证书对一个特定团体和(或)具有相同安全需求的应用类型的适用性;或用以指明证书对于具有相同安全需求的某类应用的适用性。
3.10数字证书数字证书digitalcertificate公钥证书digitalcertificate由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
按类别可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密证书。
3.11数字签名数字签名digitalsignature数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
3.12证书注销列表证书注销列表certificaterevocationlistJR/T011820153由证书认证机构签发并发布的被撤销证书的列表。
3.13依赖方依赖方relyingparty使用证书中的数据进行决策的用户或代理。
3.14证书更新证书更新certificaterenewal在证书所载信息不变的情况下,延长证书的有效期。
3.15证书注销证书注销certificaterevocation将用户的证书标记为CA永远不再信任的状态,并放置于证书注销列表中供依赖方查询。
3.16证书挂起证书挂起certificatesuspension将用户的证书标记为CA暂时不信任的状态,并放置于证书注销列表中供依赖方查询。
3.17证书解挂证书解挂certificateunsuspension将已经挂起的证书标记为CA重新信任的状态,并从证书注销列表中删除其挂起信息供依赖方查询。
4缩略语下列缩略语适用于本文件。
CA电子认证机构(certificationauthority)COS片内操作系统(chipoperatingsystem)CPS电子认证业务规则(certificationpracticestatement)CRL证书注销列表(certificaterevocationlist)KMC密钥管理中心(keymanagecenter)PKI公钥基础设施(publickeyinfrastructure)RA注册机构registrationauthoritySSL安全套接层协议(securesocketslayer)JR/T0118201545金融电子认证管理5.1基本要求5.1.1对第三方CA的基本要求第三方CA应符合以下基本要求:
a)应取得工业和信息化部颁发的电子认证服务许可证,并符合工业和信息化部的各项管理要求;b)信息系统安全保护等级原则上应为三级或更高级别;c)应制定针对金融领域的CPS和证书策略,并在网站上公开发布;d)应采用国家密码管理部门批准使用的算法,符合国家密码相关行业标准的要求,取得国家密码管理部门颁发的电子认证服务密码使用许可证,接入国家电子认证根CA;e)符合国家其它相关法律法规及主管部门有关管理要求。
5.1.2对金融机构自建CA的基本要求金融机构自建CA的,应符合以下基本要求:
a)信息系统安全保护等级原则上应为三级或更高级别,行业主管部门另有规定的,可遵循主管部门的相关规定;b)应制定相应的CPS和证书策略,并向用户公开发布;c)应采用国家密码管理部门批准使用的算法,符合国家密码相关行业标准的要求,并适时接入国家电子认证根CA;d)符合国家其它相关法律法规及主管部门有关管理要求。
5.2技术要求5.2.1格式及名称5.2.1.1证书格式要求对于采用SM系列算法的证书应符合GM/T0015-2012相关要求。
5.2.1.2名称的含义要求一般情况下,证书中载明的证书所有者名称要有实际意义。
标识个人身份的证书(简称个人证书)命名至少应包括或对应自然人名称信息;标识机构身份的证书(简称机构证书)命名至少应包括或对应机构主体名称信息。
5.2.1.3名称唯一性要求CA不能将同一证书主体名称的证书签发给不同的用户。
5.2.2身份鉴别5.2.2.1证书申请个人身份鉴别RA在对个人用户进行身份鉴别时应检查并通过必要手段验证能够表明其真实身份的有效身份证件。
有效身份证件应符合以下要求:
JR/T011820155a)中国居民,应出具居民身份证或临时身份证。
b)对于16岁以下的中国公民,应由监护人代理进行证书申请,应出具监护人的有效身份证件以及账户使用人的居民身份证或户口簿。
c)中国人民解放军军人,应出具军人身份证件。
d)中国人民武装警察,应出具武警身份证件。
e)香港、澳门居民,应出具港澳居民往来内地通行证;台湾居民,应出具台湾居民来往大陆通行证或者其他有效旅行证件。
f)外国公民,应出具护照。
g)法律、法规和国家有关文件规定的其他有效证件。
在身份鉴别过程中需要个人用户申请人到达证书申请现场时,RA应要求个人用户出示以上所列示的至少一种个人实名身份证件原件;当个人用户授权他人代为办理时,RA应要求代理人同时出示代理人与被代理人的身份证件,以及被代理人亲自签署的书面授权证明;RA应仔细查验实名身份证件及授权证明。
5.2.2.2证书申请机构身份鉴别RA在对机构申请者进行身份鉴别时应查验其有效证件,有效证件应符合以下要求:
a)企业法人,应出具企业法人营业执照正本。
b)非法人企业,应出具企业营业执照正本。
c)机关和实行预算管理的事业单位,应出具政府人事部门或编制委员会的批文或登记证书和财政部门同意其开户的证明;非预算管理的事业单位,应出具政府人事部门或编制委员会的批文或登记证书。
d)军队、武警团级(含)以上单位以及分散执勤的支(分)队,应出具军队军级以上单位财务部门、武警总队财务部门的开户证明。
e)社会团体,应出具社会团体登记证书,宗教组织还应出具宗教事务管理部门的批文或证明。
f)民办非企业组织,应出具民办非企业登记证书。
g)外地常设机构,应出具其驻在地政府主管部门的批文。
h)外国驻华机构,应出具国家有关主管部门的批文或证明;外资企业驻华代表处、办事处应出具国家登记机关颁发的登记证。
i)个体工商户,应出具个体工商户营业执照正本。
j)居民委员会、村民委员会、社区委员会,应出具其主管部门的批文或证明。
k)独立核算的附属机构,应出具其主管部门的基本存款账户开户登记证和批文。
l)其他组织,应出具政府主管部门的批文或证明。
金融机构已查验过有效证件的机构客户,通过该金融机构RA申请证书的,可以不再提供相关证件。
机构申请者应委派授权申请人办理证书申请。
需要机构证书的授权申请人到达证书申请现场时,RA应要求授权申请人出示以上所列示的至少一种机构证件原件或加盖公章的影印件、授权申请人的个人实名身份证件、机构授予申请人的书面授权证明(应加盖公章);RA应仔细查验授权申请人出示的身份证件及授权证明,验证其真实性及有效性。
5.2.2.3证书更新身份鉴别RA受理用户的证书更新请求时应采取与证书生命周期管理中证书申请相同的身份鉴别过程。
5.2.2.4证书挂起身份鉴别RA受理用户的证书挂起请求时,应验证用户申请证书时预留的身份信息。
JR/T011820156CA也可通过电话呼叫中心受理用户提出的证书挂起请求,应验证用户在申请证书时预留的身份信息。
5.2.2.5证书解挂身份鉴别RA在受理证书解挂请求时应至少采取与证书挂起相同的身份鉴别过程。
5.2.2.6证书注销身份鉴别RA在受理证书注销请求时应验证用户在该机构预留的身份信息。
5.2.3证书生命周期操作5.2.3.1证书申请处理RA应书面告知用户使用证书服务的权利和义务以及CA应承担的责任。
用户应按照CPS规定的要求填写证书申请相关信息,并准备相关的身份证明材料。
由CA或RA依据本标准5.2.2条对证书申请人的身份进行鉴别,并决定是否受理申请。
5.2.3.2证书签发及交付5.2.3.2.1证书的签发CA应基于审核通过的用户实名信息签发数字证书,同时需从技术和制度上保证在证书生成时,用于签名的证书相对应的私钥只留存在安全的硬件介质中(用户有特殊要求并自行采取其它措施保护私钥安全的除外),CA不应留存任何私钥备份。
用于加密的证书,应在电子认证系统中归档保留加密证书的私钥。
5.2.3.2.2证书的交付CA应在CPS中明确证书交付的方式、证书下载的期限和环境安全性要求。
5.2.3.3证书更新用户证书在到期前3个月内可进行更新操作,CA或RA应及时提醒用户进行证书更新。
证书更新可根据业务需要提供在线更新和离线更新两种方式,用户证书在有效期内且未被注销或挂起的情况下,用户可通过互联网在CA提供的在线更新服务平台上完成证书的更新。
客户端进行证书更新时,应使用私钥对证书请求进行签名,CA在受理用户的证书更新时,应验证证书更新请求中的签名,并保存此签名信息。
CA在受理用户的证书更新之前应验证证书的有效性,对于未记载证书持有者实名信息的证书还应验证证书信息与证书所有者真实身份信息关联关系的有效性。
CA应在收到证书更新申请后的5个工作日内处理完成。
通过证书更新申请的予以更新证书,拒绝用户的证书更新申请的,应在5个工作日内通知用户并告知其原因。
CA应知会用户使用证书服务的权利和义务以及CA应承担的责任。
CA应制定在线证书更新的业务规则。
当CA认为用户密钥存在安全隐患时,应主动提醒用户进行更新。
对于个人用户数字证书的更新,应立即撤销旧证书。
对于机构客户的数字证书更新,CA应根据客户需要提供特殊服务,不立即注销旧证书,使得新、旧证书并行一段时间,以保证某些系统的业务连续性要求。
JR/T0118201575.2.3.4证书挂起CA应根据业务安全需求在其CPS中规定挂起请求生效的最大时限。
CA应明确证书挂起的审核过程、权利与义务。
CA对于验证通过的挂起请求,应立即处理完成,并有义务将证书挂起情况及时通知用户。
5.2.3.5证书解挂对于验证通过的解挂请求,应立即处理完成,并有义务将证书解挂情况及时通知用户。
5.2.3.6证书注销CA应根据业务安全需求在其CPS中规定证书注销生效的最大时限,超过时限的责任由CA承担。
CPS应规定用户申请证书注销的条件和CA注销用户证书的条件。
对于验证通过的注销请求,应立即处理,并有义务将证书注销情况通知用户。
RA应提醒用户在发生下列情形之一时,用户应申请注销证书:
a)数字证书私钥泄露;b)数字证书中的信息发生重大变更;c)认为本人不能履行CPS。
发生下列情形之一的,CA应注销其签发的数字证书:
a)用户申请注销数字证书;b)用户提供的信息不真实;c)用户没有履行双方合同规定的义务;d)数字证书的安全性得不到保证;e)法律、行政法规规定的其它情形。
5.2.3.7证书注销列表服务CA应在满足机构的业务安全需求的前提下在其CPS中规定CRL生成与发布的频率和有效时限,并及时发布。
CPS应规定因CA原因导致CRL更新不及时或CRL不可用而造成用户损失的处理条款。
5.2.3.8在线证书查询服务CA的在线证书查询服务应符合GB/T19713-2005的要求。
5.2.3.9时间戳服务CA提供时间戳服务的,时间戳服务应遵循GB/T20520-2006的要求。
5.2.3.10证书有效期规定CA应在满足机构的业务安全需求的前提下为不同类型的证书指定合理的有效期,并在CPS中提示用户根据密钥长度、使用频度和业务场景选择合适的证书有效期,但CA签发的个人证书、企业证书和设备证书,其有效期最长不得超过5年。
5.2.4授权管理CA可使用自身的RA进行证书注册。
各机构也可接受CA委托,作为RA处理用户证书的申请、更新、挂起、解挂、注销请求。
CA应在CPS中明确被委托对象与CA的关系,应明确CA与被委托对象各自的权利、责任与义务。
JR/T011820158RA将用户证书的申请、更新、挂起、解挂、注销请求信息发送给电子认证系统时,请求信息中应包含经RA签名的身份标识信息,并应采取相应的安全保密措施,确保请求在传输时不被篡改。
电子认证系统获得RA的请求信息后,应对此信息进行鉴别与解密,仅对有效的请求信息进行处理。
CA应在与RA签订的合作协议中,明确CA给予RA的授权事项、RA在处理授权事项时应符合的相应要求以及双方的权利与义务。
CA应定期对RA的职责履行情况进行检查,同时也可根据需要不定期进行检查。
5.2.5技术安全控制5.2.5.1证明持有私钥的方法CA应使用证书请求中所包含的数字签名来证明用户持有与注册公钥对应的私钥。
在CA证书体系中,签名私钥应在客户端生成,证书请求信息中包含用户用签名私钥进行的数字签名,CA应验证这个签名。
5.2.5.2密钥对的生成CA应要求用户的签名密钥对由用户终端密码设备生成。
CA应提供适当技术手段,配合终端密码设备确保用户的证书申请中所使用的密钥对在用户的终端密码设备中生成。
5.2.5.3密钥长度CA应在CPS中规定证书的密钥长度,且密钥长度应符合国家密码管理部门的要求。
5.2.5.4私钥保护和密码模块工程控制私钥的多人控制电子认证系统私钥的生成、更新、注销、备份和恢复等操作应采用多人控制机制,用户的私钥由用户自己通过终端密码设备控制。
密码模块电子认证系统的密码模块或设备应获得国家密码管理部门核准证书。
5.2.5.5计算机安全控制CA应建立电子认证系统内设备的保管和维护制度。
5.2.5.6电子认证系统密钥管理5.2.5.6.1密钥生命周期管理电子认证系统密钥的生命周期管理包括根密钥的产生、恢复、更新、废除及销毁,其管理要求应符合GM/T0034-2014中8.2.4.2与8.2.4.3的规定。
5.2.5.6.2密钥泄露的应急处理CA应制定私钥泄露应急预案,明确私钥泄露的内部处理流程、人员分工及对外通知处理流程。
当电子认证系统的私钥信息被窃取或被未授权使用时,则其私钥信息被泄露。
电子认证系统发生私钥泄露,或者怀疑发生私钥泄露的情况,应立即注销此电子认证系统证书、由此私钥签发的公钥证书,停止签发新的用户证书,并立即通报运营监管机构和使用本电子认证系统服务的相关机构,要求相关机构通知证书用户及依赖方不得再使用原有证书。
JR/T0118201595.2.5.7KMC密钥管理5.2.5.7.1密钥分管应符合GM/T0034-2014中10.3的相关规定。
5.2.5.7.2数据备份应符合GM/T0034-2014中8.3的相关规定。
5.2.6数字签名验证服务5.2.6.1提供验证服务的情形当用户或者数字签名依赖方对数字签名信息产生质疑时,CA应为证书用户和依赖方提供数字签名数据的验证服务,即对数字证书对应私钥所做的数字签名文件进行验证。
必要时,可由司法鉴定机构给出验证结论。
5.2.6.2验证申请材料CA提供签名验证服务时,应向用户或依赖方告知需要提交的相关材料,包括但不限于:
a)已签字或盖章的书面申请;b)签名证书;c)签名原文;d)签名结果。
5.2.6.3验证内容CA应验证如下内容:
a)验证该张数字证书是否为电子认证系统签发的有效数字证书;b)验证该张数字证书在签名时,是否在电子认证系统发布的CRL内;c)对数字证书、数字签名、时间戳(若存在)的真实性、有效性进行技术确认。
5.2.6.4验证结果交付CA应在用户或依赖方提交验证申请后的1个工作日内完成签名有效性验证,并将验证结果返回给验证申请者。
5.3管理要求5.3.1人员管理5.3.1.1人员数量要求CA应配备3个或5个密钥管理人员,应至少有3名安全管理人员,3名证书业务办理人员,以满足本标准规定的业务持续服务承诺。
行业主管部门另有规定的,可遵循主管部门的相关规定。
5.3.1.2关键岗位要求a)密钥管理人员CA应设置密钥管理人员,负责按照CA密钥管理策略,对CA的密钥进行统一管理。
b)安全管理人员JR/T0118201510CA应设置专职安全管理人员,负责物理环境安全、人员安全、信息系统安全、通信系统安全及重要IT资产安全,进行日常管理和监控。
c)业务办理人员RA应设置证书办理人员岗位。
证书办理人员包括:
证书申请材料接收人员、证书申请材料鉴证人员、证书申请信息录入人员、证书申请信息审核人员,其中证书申请材料鉴证人员、证书申请信息审核人员不能由客户服务人员兼任,证书申请信息录入人员与证书申请信息审核人员不能由同一人兼任。
5.3.1.3人员任职资格要求CA应制定人员录用的相关制度,对人员录用进行严格管理,在录用人员之前应进行背景审查,不得录用有犯罪记录的人员。
CA应与所有录用人员签订录用协议及保密协议。
5.3.1.4人员培训CA应建立人员培训制度。
员工正式上岗之前,应进行入职培训,培训内容包括本岗位职责、公司制度、必要的业务
升级会员 