6.3 標識與鑒別

此項描述在頒發證書之前對最終用戶證書申請者的身份和（或）其他屬性進行審核的過程。對于期望成為CA、RA或其他PKI運營機構的實體，此項設置鑒別其身份的過程和接受準則。此項還描述如何鑒別密鑰更新請求者和吊銷請求者。另外，此項還說明命名規則，包括在某些名稱中對商標權的承認問題。

該子項包括下列關于訂戶命名和身份標識的問題：

—— 分配給主體的名稱類型，如X.500甄別名、RFC-822名稱、X.400名稱；

—— 名稱是否一定要有意義；

—— 訂戶是否能夠使用匿名或假名，如果可以，訂戶可以使用或將被分配給什么樣的名稱；

—— 理解不同名稱形式的規則，如X.500標準和RFC-822；

—— 名稱是否需要唯一；

—— 對商標的識別、鑒別及其角色。

對于每種主體類型（CA、RA、訂戶或其他參與者）初始注冊中的標識和鑒別過程，該子項包含下列元素：

—— 主體是否以及怎樣證明持有與注冊公鑰相對應的私鑰，如在證書請求消息中包含數字簽名；

—— 對訂戶或參與者（CA、RA、訂戶（當給組織或由一個組織控制的設備頒發證書時））的組織身份進行標識和鑒別的要求，如咨詢提供組織身份識別服務的數據庫、或檢查組織的成立文件；

—— 對于個人訂戶或代表組織訂戶的個人進行標識和鑒別的要求，包括：

●　所需文檔的類型和（或）身份證號碼；

●　 CA或RA如何基于其所提供的身份文檔來鑒別組織或個人的身份；

●　個人是否需要抵達CA或RA的現場；

●　如何鑒別一個人確實是組織的代表人，如通過察看經過簽署的授權文件或公司標識徽章；

—— 在初始注冊中沒有驗證的訂戶信息列表；

—— 對機構的驗證涉及確定一個人是否具有特定的權力或許可，包括代表組織獲取證書的許可。

—— 當一個CA申請要在一個PKI下操作或與之互操作時，該子項包含一個PKI、CA或策略機構決定該CA是否適合此操作或互操作的準則。這些互操作可能是交叉認證、單向交叉認證或其他形式的互操作。

針對于密鑰更新中對每個實體（CA、RA、訂戶或其他參與者）標識和鑒別過程，該子項說明下列元素：

—— 正常密鑰更新中對標識和鑒別的要求，如使用當前有效密鑰對包含新密鑰的密鑰更新請求進行簽名；

—— 證書被吊銷后密鑰更新中對標識和鑒別的要求，如使用原始身份驗證相同的流程。

該子項描述對每個主體類型（CA、RA、訂戶或其他參與者）吊銷請求的標識和鑒別過程。例如，吊銷請求由與被吊銷公鑰對應的私鑰簽名，以及請求經RA數字簽署。

本文章首發在網安wangan.com 網站上。

暫無個人描述~

點贊