认证证书和认证标志管理办法(共17篇)
第一章 总则
第一条 为加强对产品、服务、管理体系认证的认证证书和认证标志(以下简称认证证书和认证标志)的管理、监督,规范认证证书和认证标志的使用,维护获证组织和公众的合法权益,促进认证活动健康有序的发展,根据《中华人民共和国认证认可条例》(以下简称条例)等有关法律、行政法规的规定,制定本办法。
第二条 本办法所称的认证证书是指产品、服务、管理体系通过认证所获得的证明性文件。认证证书包括产品认证证书、服务认证证书和管理体系认证证书。
本办法所称的认证标志是指证明产品、服务、管理体系通过认证的专有符号、图案或者符号、图案以及文字的组合。认证标志包括产品认证标志、服务认证标志和管理体系认证标志。
第三条 本办法适用于认证证书和认证标志的制定、发布、备案、使用和监督检查。
第四条 国家认证认可监督管理委员会(以下简称国家认监委)依法负责认证证书和认证标志的管理、监督和综合协调工作。
地方质量技术监督部门和各地出入境检验检疫机构(以下统称地方认证监督管理部门)按照各自职责分工,依法负责所辖区域内的认证证书和认证标志的监督检查工作。
第五条 禁止伪造、冒用、转让和非法买卖认证证书和认证标志。
第二章 认证证书
第六条 认证机构应当按照认证基本规范、认证规则从事认证活动,对认证合格的,应当在规定的时限内向认证委托人出具认证证书。
第七条 产品认证证书包括以下基本内容:
(一)委托人名称、地址;
(二)产品名称、型号、规格,需要时对产品功能、特征的描述;
(三)产品商标、制造商名称、地址;
(四)产品生产厂名称、地址;
(五)认证依据的标准、技术要求;
(六)认证模式;
(七)证书编号;
(八)发证机构、发证日期和有效期;
(九)其他需要说明的内容。
第八条 服务认证证书包括以下基本内容:
(一)获得认证的组织名称、地址;
(二)获得认证的服务所覆盖的业务范围;
(三)认证依据的标准、技术要求;
(四)认证证书编号;
(五)发证机构、发证日期和有效期;
(六)其他需要说明的内容。
第九条 管理体系认证证书包括以下基本内容:
(一)获得认证的组织名称、地址;
(二)获得认证的组织的管理体系所覆盖的业务范围;
(三)认证依据的标准、技术要求;
(四)证书编号;
(五)发证机构、发证日期和有效期;
(六)其他需要说明的内容。
第十条 获得认证的组织应当在广告、宣传等活动中正确使用认证证书和有关信息。获得认证的产品、服务、管理体系发生重大变化时,获得认证的组织和个人应当向认证机构申请变更,未变更或者经认证机构调查发现不符合认证要求的,不得继续使用该认证证书。
第十一条 认证机构应当建立认证证书管理制度,对获得认证的组织和个人使用认证证书的情况实施有效跟踪调查,对不能符合认证要求的,应当暂停其使用直至撤销认证证书,并予以公布;对撤销或者注销的认证证书予以收回;无法收回的,予以公布。
第十二条 不得利用产品认证证书和相关文字、符号误导公众认为其服务、管理体系通过认证;不得利用服务认证证书和相关文字、符号误导公众认为其产品、管理体系通过认证;不得利用管理体系认证证书和相关文字、符号,误导公众认为其产品、服务通过认证。
第三章 认证标志
第十三条 认证标志分为强制性认证标志和自愿性认证标志。
自愿性认证标志包括国家统一的自愿性认证标志和认证机构自行制定的认证标志。
强制性认证标志和国家统一的自愿性认证标志属于国家专有认证标志。
认证机构自行制定的认证标志是指认证机构专有的认证标志。
第十四条 强制性认证标志和国家统一的自愿性认证标志的制定和使用,由国家认监委依法规定,并予以公布。
第十五条 认证机构自行制定的认证标志的式样(包括使用的符号)、文字和名称,应当遵守以下规定:
(一)不得与强制性认证标志、国家统一的自愿性认证标志或者已经国家认监委备案的认证机构自行制定的认证标志相同或者近似;
(二)不得妨碍社会管理秩序;
(三)不得将公众熟知的社会公共资源或者具有特定含义的认证名称的文字、符号、图案作为认证标志的组成部分(如使用表明安全、健康、环保、绿色、无污染等的文字、符号、图案);
(四)不得将容易误导公众或者造成社会歧视、有损社会道德风尚以及其他不良影响的文字、符号、图案作为认证标志的组成部分;
(五)其他法律、行政法规,或者国家制定的相关技术规范、标准的规定。
第十六条 认证机构自行制定的认证标志应当自发布之日起___日内,报国家认监委备案。
第十七条 认证机构备案时应当提交认证标志的式样(包括使用的符号)、文字、名称、应用范围、识别方法、使用方法等其他情况的书面材料。
国家认监委应当自收到备案材料之日起___日内,依照本办法有关规定对认证机构提交的材料进行核查,对于符合本办法第十五条规定的,予以备案并公布;不符合的,告知其改正。
第十八条 认证机构应当建立认证标志管理制度,明确认证标志使用者的权利和义务,对获得认证的组织使用认证标志的情况实施有效跟踪调查,发现其认证的产品、服务、管理体系不能符合认证要求的,应当及时作出暂停或者停止其使用认证标志的决定,并予以公布。
第十九条 获得产品认证的组织应当在广告、产品介绍等宣传材料中正确使用产品认证标志,可以在通过认证的产品及其包装上标注产品认证标志,但不得利用产品认证标志误导公众认为其服务、管理体系通过认证。
第二十条 获得服务认证的组织应当在广告等有关宣传中正确使用服务认证标志,可以将服务认证标志悬挂在获得服务认证的区域内,但不得利用服务认证标志误导公众认为其产品、管理体系通过认证。
第二十一条 获得管理体系认证的组织应当在广告等有关宣传中正确使用管理体系认证标志,不得在产品上标注管理体系认证标志,只有在注明获证组织通过相关管理体系认证的情况下方可在产品的包装上标注管理体系认证标志。
第四章 监督检查
第二十二条 国家认监委组织地方认证监督管理部门对认证证书和认证标志的使用情况实施监督检查,对伪造、冒用、转让和非法买卖认证证书和认证标志的违法行为依法予以查处。
第二十三条 国家认监委对认证机构的认证证书和认证标志管理情况实施监督检查。
认证机构应当对其认证证书和认证标志的管理情况向国家认监委提供报告。报告中应当包括其对获证组织使用认证证书和认证标志的跟踪调查情况。
第二十四条 境外认证标志所有人或者其授权的委托人可以向国家认监委办理境外认证标志备案。备案内容包括认证标志的式样(包括使用的符号)、文字、名称、应用范围、识别方法,认证标志持有人,以及使用变更等情况。
在中国境内设立的外商投资认证机构自行制定的认证标志应当按照本办法第十六条的规定办理备案。
第二十五条 认证机构应当公布本机构认证证书和认证标志使用等相关信息,以便于公众进行查询和社会监督。
第二十六条 任何单位和个人对伪造、冒用、转让和非法买卖认证证书和认证标志等违法、违规行为可以向国家认监委或者地方认证监督管理部门举报。
第五章 罚则
第二十七条 违反本办法第十二条规定,对混淆使用认证证书和认证标志的,地方认证监督管理部门应当责令其限期改正,逾期不改的处以___万元以下罚款。
未通过认证,但在其产品或者产品包装上、广告等其他宣传中,使用虚假文字表明其通过认证的,地方认证监督管理部门应当按伪造、冒用认证标志、违法行为进行处罚。
第二十八条 违反本办法规定,伪造、冒用认证证书的,地方认证监督管理部门应当责令其改正,处以___万元罚款。
第二十九条 违反本办法规定,非法买卖或者转让认证证书的,地方认证监督管理部门责令其改正,处以___万元罚款;认证机构向未通过认证的认证委托人出卖或转让认证证书的,依照条例第六十二条规定处罚。
第三十条 认证机构自行制定的认证标志违反本办法第十五条规定的,依照条例第六十一条规定处罚;违反其他法律、行政法规规定的,依照其他法律、行政法规处罚。
第三十一条 认证机构发现其认证的产品、服务、管理体系不能持续符合认证要求,不及时暂停其使用认证证书和认证标志,或者不及时撤销认证证书或者停止其使用认证标志的,依照条例第六十条规定处罚。
第三十二条 认证机构未按照规定向社会公布本机构认证证书和认证标志使用等相关信息,责令限期改正,逾期不改的,予以警告。
第三十三条 伪造、冒用、非法买卖认证标志的,依照《中华人民共和国产品质量法》和《中华人民共和国进出口商品检验法》等有关法律、行政法规的规定处罚。
第六章 附则
第三十四条 认证证书和认证标志的收费按照国家有关价格法律、行政法规的规定执行。
第三十五条 本办法由国家质量监督检验检疫总局负责解释。
一、基层央行CA证书使用和管理存在的问题
(一) CA证书管理制度须进一步细化
CA证书管理制度建设不完善, 不能更好地适应业务工作发展。虽然人总行制定了《中国人民银行内网电子认证证书管理办法》, 对CA证书的发放、撤销、冻结以及制作等进行了规定, 但基层央行未制定相应实施细则, 未对CA证书在日常业务工作中管理、使用、保管等方面进行明确规定, 极易造成基层业务部门在日常工作中对CA证书的管理认为“自己的事自己管”, 没有统一的管理机制, 事后对责任认定和追究上难以界定, 导致CA管理工作中存在管理职责不清等问题。
(二) CA证书安全使用意识淡薄
由于CA证书在基层央行的应用时间不长, 且仅供个别业务系统使用, 使用并不广泛, 在日常安全管理工作的检查和落实方面容易被忽视, 在CA证书的管理上存在重使用轻管理的现象。个别不再使用CA证书的操作人员在离岗、轮岗时, 往往疏忽对CA证书的管理, 造成岗位变动, 未办理撤销或冻结手续, 易引发风险隐患。甚至个别人员由于长期不使用CA证书, 在检查时才发现自己领用过CA证书, 存在CA证书丢失的情况。
(三) CA证书过期未及时申请更新
目前人民银行内网CA证书有效期为3年, 为不影响正常业务, CA证书责任人应于证书到期日前30天至60天提交证书更新申请。但个别CA证书责任人不及时查看证书有效期, 未按要求提前申请证书更新, 导致证书过期而无法登录系统, 给业务工作的开展带来了不利影响。
(四) CA证书使用管理职责不明确
从实际情况来看, 一般由基层央行业务主管部门统一在省会中支办理CA证书申领、更新等相关手续, 并将CA证书领用、更新等其他情况进行统一登记, 建立CA证书管理台账, 进行统一管理。但由于部分CA证书责任人调离原岗位, 在新岗位仍继续使用, 在原业务主管部门和新业务主管部门未办理相关清退或新入手续, 新业务主管部门对CA证书领用情况不了解, 加大了统一管理的难度, 导致管理职责不明确, 交接管理不到位情况的发生。
(五) CA证书监督检查存在脱节
目前, 除ACS系统CA证书由基层行科技部门进行注册发放外, 其他业务系统CA证书均由省会中支科技部门直接发放至基层行业务主管部门。基层行科技部门对本单位CA证书发放数量、部门和人员的具体情况不了解, 必然造成管理上的漏洞, 导致基层行在信息安全检查中, 对于CA证书使用等情况, 难以开展有效、全面、细致的检查。
二、相关建议
(一) 强化教育培训, 提高思想认识
建议总行进一步加强对CA证书使用、管理方面的培训, 提高相关管理人员和责任人对CA证书重要性的认识, 使其熟悉CA证书的申请、发放、撤销、更新等相关流程, 特别是加强对新申领CA证书人员的教育培训, 熟悉对CA证书的使用操作, 切实履行“谁使用、谁负责”的职责, 妥善保管CA证书, 避免证书丢失或损坏。
(二) 完善规章制度, 明确各方责任
建议上级行根据《中国人民银行内网电子认证证书管理办法》, 紧密结合工作实际, 制定CA证书使用管理实施细则, 涵盖CA证书的申请、使用、撤销、保管、检查以及日常管理等方面内容, 规范日常业务工作中对CA证书的操作和使用, 设置CA证书管理员岗位, 明确业务主管部门、业务使用部门以及责任人的职责, 以促进CA证书管理的科学化、制度化、规范化。
(三) 加强日常管理, 确保安全使用
建议基层央行要严格落实制度, CA证书业务主管部门和业务使用部门要进一步加强对CA证书的日常使用管理, 确保CA证书使用和管理安全。一是对即将到期的证书, 及时督促CA证书责任人提前申请办理证书更新手续, 防止因证书过期失效无法进行业务操作, 影响业务的正常开展。二是按照“一人 (系统) 一证”的原则, 加强对离岗责任人的证书管理, 证书责任人离岗时, 先办理CA证书撤销手续后, 方可办理调离手续;对于在新岗位仍需使用CA证书的人员, 可重新申请领用新证书。三是对CA证书责任人相关信息发生变化时, 例如由一代身份证号码变更为二代身份证号码, 要及时办理CA证书更新手续, 以免实际情况与CA证书信息不一致。
(四) 优化工作流程, 强化管理职能
建议今后可参照ACS系统CA证书发放模式, 进一步优化CA证书管理工作流程, 由基层行科技部门进行注册发放、管理CA证书, 一方面有利于基层行掌握CA证书发放、使用情况, 全面、有效开展检查;另一方面由于基层行科技部门能够及时全面掌握CA证书责任人发生变化的情况, 便于做好CA证书的日常使用管理。
(五) 加大检查力度, 排查风险隐患
智利甘露酒庄计划在亚洲销售百万箱葡萄酒
智利甘露酒庄透露,计划成为在亚洲市场销售葡萄酒过百万箱的葡萄酒品牌。甘露酒庄出口总监Cristian Lopez表示,亚洲是他们下一个要攻克的大市场,也是增长最快速的市场。他们的长期目标是使该酒庄的葡萄酒在亚洲市场上的销售每年能达100万箱,目前是6万箱,并在中国市场上全心全意的取得成功。
全球最昂贵葡萄酒在迪拜出售
全世界最贵葡萄酒目前在迪拜机场对外销售,这款标价195000美元的葡萄酒,全世界只有三瓶限量版外售,这瓶12升的葡萄酒由法国波尔多地区的Margaux酒庄酿造,售价还包括一张前往法国的头等舱机票,买主可以搭乘航班去法国参观Margaux酒庄。
南非建立开普敦酒商分级统一
南非开普敦酒商分级系统(CVC)近日成立,旨在确保开普敦葡萄酒的质量。这一系统将在葡萄酒原产地计划框架内实施。开普敦葡萄酒生产商为了建立一个认证系统,向客户提供管理和保证,通过CVC这样一个认证系统为酒商创建了分级,CVC系统的三级分级分别是:特定葡萄园葡萄酒、庄园葡萄酒以及原产地葡萄酒。
黑桃A香槟推出史上最大容量粉红香槟酒
黑桃A香槟公司将推出30升容量的Midas粉红香槟。首瓶粉红Midas香槟将在Hakkasan拉斯维加斯餐厅推出,位于美高梅大赌场酒店。该款香槟相当于40个标准容量的(750ml)酒瓶,4英尺高,重45公斤,标价275000美元,此次推出的粉红Midas香槟酒为限量版。
阿莫林2013年软木塞生产数量达40亿
【考试介绍】
人力资源管理师(Human Resources Professional,HRP)指从事人力资源规划、招聘与配置、培训与开发、绩效管理、薪酬福利管理、劳动关系管理等工作的管理人员。国家人力资源和社会保障部认证严格实行“统一标准、统一命题、统一培训、统一考务管理、统一证书核发”的原则。考试合格后,由中华人民共和国人力资源和社会保障部统一颁发《中华人民共和国职业资格证书》,实行统一编号、登记管理和网上查询。证书全国通用。
【培训费用】
580元/人(包含报考费、鉴定费、教材费和培训费)。
【报考时间】
报名时间:10月9日晚上17:30-19:30。
报名地点:暂定法商综合楼一楼招聘大厅。
【报名资料】
二寸蓝底电子照片四张、身份证复印件二张、学生证复印件二张。
【咨询电话】
027-81290919 肖博
一、为什么需要提交《教育部学历证书电子注册备案表》或《中国高等教育学历认证报告》?
考生报考河北省自学考试,在网上申请本科层次专业毕业(或使用“学历证书”申请免考)时,系统使用考生自考考籍的身份证号码、姓名通过“学信网”在线查验其已持有的“学历证书”信息。
在线查验未通过的,需在规定时间内提交学历证书原件及复印件,同时提交《教育部学历证书电子注册备案表》或《中国高等教育学历认证报告》(以下分别简称《学历证书备案表》、《学历认证报告》)原件及复印件,用以辅证学历证书为国家承认的学历证书。
《学历证书备案表》、《学历认证报告》申请方式见第五条。
注:办理毕业申请时,提交的《学历证书备案表》应确保办理自学考试本科毕业审定时仍在有效期内(上半年最晚为6月30日,下半年最晚为12月30日);
办理免考申请时,提交的《学历证书备案表》应确保办理自学考试免考材料审批时仍在有效期内(上半年最晚为3月30日,下半年最晚为9月30日)。
二、“学历证书”无法通过在线查验的几个主要原因
(一)考生自考考籍的身份证号码、姓名与“学历证书”在“学信网”注册身份证号码、姓名不符。
(二)部分军队院校学历证书和部分毕业的学历证书“学信网”不提供查验。
三、《学历证书备案表》或《学历认证报告》信息中出生日期(含身份证号码)信息与自考考籍的出生日期(含身份证号码)信息不一致的,需按不同情况增加提交以下材料:
(一)因身份证号码变更造成出生日期不一致的,提交带有变更前信息的毕业材料(如毕业生登记表等)原件及复印件,同时提交县级公安机关署章的、公安部统一制式的《公民身份证号码更正证明》原件及复印件。
(二)因注册信息有误,但“学历证书”标明出生日期与自考考籍的出生日期一致的,提交 “学历证书”原件及复印件。
(三)因注册信息有误,且“学历证书”标明出生日期与自考考籍的出生日期不一致的,提交“学历证书”、学籍登记表原件及复印件各一份和说明错误原因的材料。
四、《学历证书备案表》或《学历认证报告》中姓名信息与自考考籍的姓名信息不一致的,需增加提交以下材料:
(一)《学历证书备案表》或《学历认证报告》中姓名信息与自考考籍的姓名信息为“现用名”、“曾用名”关系的提交标明曾用名的户口簿原件及复印件或标明曾用名的户籍证明信原件及复印件。户口簿或户籍证明信的曾用名不得为后期手写填加。
(二)因注册信息有误的,但“学历证书”标明姓名与自考考籍的姓名一致的,提交 “学历证书”原件及复印件。
(三)因注册信息有误的,且“学历证书”标明姓名与自考考籍的姓名不一致的,提交“学历证书”、学籍登记表原件及复印件各一份和说明错误原因的材料。
五、《学历证书备案表》或《学历认证报告》申请方式:
申请方式详见“中国高等教育学生信息网(学信网)”网站
申请《学历证书备案表》参看“在线验证报告”信息,申请《学历认证报告》参看“纸质认证”信息。
《学历证书备案表》可通过两种方式申请:
①通过学信档案申请。该方式须实名制注册,《学历证书备案表》有效期可自主选择。
②通过学信网学历查询栏目申请。无须实名制注册即可申请《学历证书备案表》,但有效期限为30天。
中 国 学 位 证 书 认 证 申 请 表
(供应届毕业生申请专用)
申请人姓名(中文):性别出生日期年月日身份证号
注:认证项目请填写申请认证证书名称(如博士学位、硕士学位、学士学位等),每栏只填写一项;
本人自愿申请学位认证,并缴纳认证费100元。
申请人签名:联系电话:申请日期:年月日
教育部学位与研究生教育发展中心制
附件二
学位认证申请数据库标准
随着信息安全技术和公钥基础设施体系 (Public Key Infrastructure, PKI) 的飞速发展, 以及各级证书认证中心 (Certificate Authority, CA) 系统的建设和推广, 亟需发展可靠的、满足多种应用的CA系统方案。数字证书是保证安全的基石, 它在身份识别、访问控制, 以及安全通信等方面起到越来越重要的作用。CA系统及数字证书不能满足各种安全应用的局限性也越来越受到人们的重视。通过在传统C A系统中增加证书模板 (C e r t i f i c a t e Template) 管理机制可以很好的实现CA系统与应用的无缝结合。
2 支持证书模板的证书认证系统简介
证书认证系统提供对数字证书全生命周期的过程管理功能, 包括用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。
支持证书模板机制的证书认证系统可由密钥管理中心子系统 (Key Manager C e n t e r, K M C) 、C A子系统、R A (Registration Authority) 子系统组成, 其一般设计原则如下:1) CA子系统创建证书模板, 分配证书模板集合。2) RA子系统下载可使用的证书模板集合。3) RA子系统根据证书模板要求填写证书各种扩展和属性。4) CA子系统根据证书模板和RA上传的报文签发用户证书。其模块组成见图1。
密钥管理中心子系统 (KMC) 主要提供安全、规范的密钥管理服务, 实现用户密钥的生命周期管理以及密钥管理的审计等功能。
CA子系统模块由CA后台服务器模块、CA前台管理模块、OCSP/LDAP服务模块、CRL服务模块、CA查询统计/CA审计模块等组成。CA后台服务器模块提供根据证书模板签发证书/证书注销列表, 完成证书的LDAP存储、OCSP发布管理;CA前台管理模块主要提供CA创建、CA策略配置, 提供RA的创建、配置、RA设备证书更新、注销管理, 提供CA内部设备、人员证书管理, 提供证书模块的管理功能, 提供CA支持的证书模板分配功能。
RA子系统模块由RA后台服务器模块、RA管理终端模块、RA业务终端模块、RA查询统计/RA审计模块等组成。RA后台服务器模块提供用户信息数据库录入、证书请求申请、RA_CA间安全通讯等功能。RA业务终端模块主要提供用户信息的录入、用户身份审核及证书安装功能等。RA管理终端模块主要为RA业务终端提供配置功能, 包括RA设备证书、RA人员证书导入, 证书申请时使用的项目信息、证书模板信息配置, 以及RA可访问CA列表下载等。通过RA管理终端专司配置, 可满足RA业务终端多变的业务, 面对更复杂的现实应用。
3 证书模板定义与分析
3.1 证书模板定义
证书模板概念最初由Windows 2000提出。本文证书模板是指一系列配置的规则集合, 用来预定义CA中心签发数字证书所需的基本项信息、标准扩展信息和自定义扩展信息。证书模块按密钥用途可分为加密证书模板、签名证书模板;按证书用途, 可分为CA证书模板、个人证书模板、单位证书模板、代码签名证书模板、VPN证书模板等。证书模板可以满足商业需求、面对复杂的现实应用。
3.2 证书模板元素分析
证书模板的元素组成直接与数字证书的组成密切相关。数字证书是一种“网络身份证”, 它由证书认证中心签发;它是一种包含持有者信息、持有者公钥、颁发者、颁发者签名等信息的电子文件。
为了适应PKI技术的发展, IETF制定在Internet上使用X.509和CRL的标准。X.509 V3版本证书组成元素分析见图2。
通过以上分析, 证书模板配置的元素可包括基本信息 (证书模块名称、版本号、编号、创建时间等, 简称TeBaseInfo) 、持有者/颁发者DN项 (TeDNInfo) 、密钥标识符 (TeKeyID) 、密钥用途 (Te Key Use) 、扩展密钥用途 (TeExKeyUse) 、签发者/持有者别名 (TeAltName) 、CRL发布点 (TeCRLInfo) 、策略发布点 (TeCPSInfo) 、CA信息访问 (TeCAAccess) 、其他标准扩展 (T e O t h e r P r i) 和自定义私有扩展 (TeUserPri) 等。
4 证书模板机制设计
4.1 证书模板流程设计
(1) CA前台管理程序初始化时, 创建CA证书模板用于签发CA证书;创建人员证书模板用于签发CA内部人员证书;创建设备证书模板用于签发CA/RA设备证书;创建用户证书模板, 用于签发用户证书。
(2) CA前台管理程序分配证书模板集合给CA体系。
(3) CA前台管理程序, 创建RA、配置RA可访问的CA集合。
(4) CA后台服务程序启动, 接受证书管理类报文、证书申请类报文。
(5) RA管理终端程序初始化时, 导入RA人员和RA设备证书, 承建RA中心, 并启动RA服务后台程序。
(6) RA管理终端程序通过RA服务后台程序发送证书管理类报文给CA后台服务程序, 完成RA可访问CA配置、RA可使用的证书模板配置, 配置RA证书申请时不同项目关联的证书模板。
(7) RA业务终端程序通过RA服务后台程序发送证书申请类报文给CA后台服务程序, 完成证书申请。CA后台服务程序分析报文类型, 根据证书模板完成证书签发、根据不同证书业务完成证书的管理。证书申请业务主要包括证书新增、证书更新、证书注销、证书冻结解冻等。
(8) CA管理终端程序若重新配置了CA证书模板集合, 重复操作第6步、第7步即可。
4.2 证书模板安全性分析
证书模板在CA子系统创建、在RA子系统下载并保存RA数据库中, 证书模板信息安全性非常重要。证书模板安全性设计主要体现在授权安全性、完整性、安全传输性、使用操作不可否认性。
CA子系统创建、管理证书模板机制是证书模板授权安全性的重要保障。CA管理员通过强身份认证机制登陆CA前台管理程序, 管理证书模板、配置CA证书模板集合。CA前台管理程序与CA后台服务程序统一协调完成证书模板服务、证书的签发, 方便RA子系统的承建与证书灵活申请。
证书模板完整性要求证书模板在RA数据库长期存放过程中, 防止信息篡改。本证书模板机制通过在模板结构中增加创建者签名来实现。将待签名数据 (tbs Templet) , 签名值和签名算法组成完整证书模板数据。tbsTemplet由TeBaseInfo、T e D N I n f o、T e K e y I D、TeExKeyUseTeAltName、TeCRLInfo、TeCPSInfo、TeCAAccess、TeOtherPri、TeUserPri等组成。
证书模板安全传输通过RA子系统、CA子系统安全通讯来保证, 一般RA_CA安全通讯通过SSL或者VPN机制来保证。
证书模板使用不可否认性通过RA业务操作员每一笔业务增加操作员签名、审计日志来保证。
5 证书模板机制实现
开发系统互联 (O p e n S y s t e m s I n t e r c o n n e c t i o n, O S I) 使用A S N.1 (Abstract Syntax Notation One, X.208) 描述抽象对象。BER规则 (Basic Encoding Rules) 负责将这些抽象对象编码为0、1表示的比特串, B E R的子集D E R (Distinguished Encoding Rules) 进一步保证这种编码的唯一性。PKIX的X.509证书、RSA的PKCS标准均是使用ASN.1定义。本系统证书模板设计采用ASN.1语法描述、使用DER编码实现, 生成的证书模板数据能跨平台使用。
5.1 证书模板自定义私有扩展配置实现
证书私有扩展的ASN.1语法描述如下:
证书模板的自定义扩展配置需要由自定义扩展OID值、自定义扩展关键性、自定义扩展值、自定义扩展界面显示名称、自定义填写特性等组成。自定义扩展界面显示名称用于RA子系统前台界面显示, 自定义填写特性用于指明本扩展是RA子系统用户录入填写, 还是CA服务后台程序自动生成填写。其ASN.1语法表示如下:
5.2 证书模板ASN.1语法描述
6 总结
本文对证书模板机制的分析实现在现实CA方案建设中具有很强的理论指导和实用价值。本文证书模板机制设计思路可以很方便的应用在证书注销列表签发、PMI系统中属性证书 (attribute certificates) 的签发流程中。随着证书认证系统在证券、政府、银行、大型企业的广泛应用, 证书模板机制的证书认证系统更需要人们关注、研究和实现。
摘要:为了解决传统CA不能与应用紧密结合的局限性, 提出一种安全证书模板解决方案。简要介绍证书认证系统模块组成, 并深入分析证书模板元素组成、证书模板安全性设计、提出证书模板实现方法, 为证书认证系统的建设提供了一种思路。
关键词:证书模板,证书认证系统,数字证书,CA,RA
参考文献
[1]CCITT.Recommendation X.208:Specification of Abstract Syntax Notation One (ASN.1) .1988.
[2]CCITT.Recommendation X.209:Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1) .1988.
好山好水出好茶。五指山是海南省森林生物多样性保护的核心区和重要的水源涵养区,属典型的低纬度、高海拔的热带海洋季风气候,多雨多雾,光、热、水资源丰富,土质微酸、土层深厚肥沃,发展茶叶生产的自然条件得天独厚,是中国最南端的高山云雾茶叶产区。正是依托得天独厚的生态环境和自然气候的滋润,才成就了五指山茶叶的优良品质,深受市场欢迎。
五指山茶叶尤其是五指山红茶,富含茶多酚、茶黄素、多种游离氨基酸和矿物质等营养元素,以其“琥珀汤、奶蜜香”的典型特征赢得了消费者青睐。
五指山市相关负责人表示,该市将大力实施“互联网+农业”战略,不断创新营销理念,促进品牌产品健康发展,努力把五指山茶产业打造成五指山经济的一张王牌。下一步,该市还将推进民俗文化、山水风光、休闲养生、特色美食等与茶文化的深度融合,提高茶产业综合效益。
新闻发布会后,在五指山茶产业发展论坛上,茶叶专家、政府官员、茶企以及消费者代表等,就五指山红茶品牌建设与管理、五指山红茶产业与旅游产业融合等话题进行了探讨。
(摘自《海南日报》,2016-03-21,易建阳,符国楠/文)
企业(或其他组织)如果向要获得ISO14001证书,首先需要在咨询机构的帮助下,建立起环境管理体系,在这个体系运行3个月之后,向第三方认证机构申请认证,认证机构按照公正、合理、规范的原则,对其建立起的环境管理体系进行审核,如果合格,认证机构将发给证书,如果不合格,认证机构将开出不符合项,企业进行纠正,然后企业进行跟踪审核,如果合格就颁发证书。
下面介绍一下具体步骤:
首先,向咨询机构作ISO14001方面的咨询。
我国目前在北京、天津、浙江、山东、辽宁、江苏、福建、上海、四川、陕西、广东、山西等省、市共有25家咨询机构。这些咨询机构能够帮助企业了解ISO14001标准知识、建立文件化的环境管理体系、运行环境管理体系。
当体系运行三个月之后向认证机构提出申请,企业申请认证必须具备的条件有两点:遵守国家及地方有关环境保护法规、标准及总量控制标准;
已按ISO14001标准建立环境管理体系,并至少运行三个月以上。
目前,我国共有12家环境管理体系认证机构,企业在选择认证机构时可以综合考虑这几家认证机构的认证水平、认证人员的业务能力、认证机构的信誉以及认证费用,然后选择合适的认证机构。选定认证机构以后,按照认证机构的要求提出注册申请,认证机构组织审核员对企业进行环境管理体系审核。
环境管理体系审核就是客观地获取审核证据并予以评价,以判断一个组织(或企业)的环境管理体系是否符合环境管理体系审核准则的一个系统化并形成文件的验证过程。环境审核的主要步骤分五步:
第一步:确定审核目的和审核范围:环境管理体系审核的目的在于对照环境管理体系审核准则中的要求来判断以下几项事项:①衡量受审核方环境管理体系运行及符合情况;②确定其环境管理体系是否得到了妥善的实施和保持;③发现体系中可进一步改善的因素;④评价组织内部管理评审是否能够保证环境管理体系的持续有效和适用。
第二步:确定审核准则:①衡量环境管理体系是否完善;②环境管理体系的活动是否正确;③实施情况是否良好;④体系是否充分适合于组织的环境方针和目标。
第三步:收集信息并做出分析,以提供审核证据
第四步:判断审核证据是否符合审核准则(注意证据与结论有可能受时间、资源的限制而有局限性和不确定性)
第五步:提交审核报告,做出结论
在讨论如何在北京做公证认证之前,我们先了解一下几个概念。
什么是公证?公证是公证机构根据自然人、法人或者其他组织的申请,依照法定程序对民事法律行为,有法律意义的事实和文书的真实性、合法性予以证明的活动。
什么是领事认证?领事认证是指一国外交、领事机构及其授权机构在公证文书或其他证明文书上,确认公证机构、相应机关或者认证机构的最后一个签字或者印章属实的活动。由于领事认证的特殊作用,可以形象地将其比喻为发给涉外文书的“签证”。
做公证认证的目的就是为了使一国的文书在其他国家被认可接受。
明白了以上概念之后,我们就来讲一讲怎么办理公证认证。
公证认证的流程:
第1步:
部分文件先经过贸促会或各地公证处的审核认证,贸促会和公证处审核需领事认证文件上的印章或者签字是否属实,审核后并由贸促会和
公证处出具证明书或者公证书,并且证明书上有公证员的签字及国际商会和公证处的印章。
第2步:
将带有贸促会或者公证处公证员签字的文件,送至外交部领事司,由领事司认证对商会和公证处的印章有签字进行认证,在认证的文件上由外交部领事司授权人签字。目前领事司并不直接接受个人申请的外交部认证及使馆领事认证,办理人员可经过外交部指定机构办理。(备注:如果文件不需要送至使馆认证的话,到此步骤就认证结束的话,称为外交部单认证,部分国家部分文件办理外交部单认证即可使用)
第3步
文件由外交部领事司认证出后,送去各国大使馆或者领事馆认证,由各国使馆认证外交部领事司的印章及签字。(到此为之称为使馆双认证)
总结:各地公证处或贸促会认证——→外交部认证——→各国使馆、领事馆认证——→退回外交部
拿到境外使用的公证书,还须经过认证?程序如何? 随着中国与世界各国经贸往来的深入,中国文书拿到境外使用的情况越来越多,这时怎么办理相关公证认证手续呢?
这里所说的认证,也称“外交认证”、“领事认证”,是指外交、领事机关在公证文书上证明公证机关或认证机关(包括本国的和外国的外交、领事机关)的最后一个签名或印章属实。认证的目的主要是为了使发往境外使用的公证书能够被使用国或地区有关当局承认,不致于怀疑印章和签名是否属实而影响公证书的效力。
发往国外使用的公证书哪些还须经过认证,主要决定于公证书的使用目的和使用国或地区的要求。一般地说,用于涉外继承、收养等用途的公证书,都须经过领事认征,而用于出国定居、留学、旅游等用途的公证书,很多国家都规定不需要经过领事认证。有关不同国家或地区的不同要求是:
一、要求我国发往该国使用的所有公证书都需经我外交部领事司和该国驻华使馆认证的国家有泰国、菲律宾、马来西亚、西班牙、墨西哥、秘鲁和委内瑞拉等。
二、要求用于财产继承、转让、商务等用途的公证书,需经我国外交部领事司和该国驻华使馆认证的国家和地区有美国、加拿大、香港、法国、德国、科威特、伊朗、澳大利亚、新西兰和比利时等。
三、英国和东欧各国只要求办理我国外交部领事司认证,而不用办理该国驻我国使馆认证。
四、美国、加拿大、日本、法国等国家对不涉及财产和收养关系的有关民事公证书,与我国互相免除认证手续。
认证的一般程序是:先由我国的外交部领事司或有关省市外事办认证,证明公证书上公证机关的印章和公证员的签名章属实;然后由公证书使用国的驻华大使馆、领事馆认证,证明公证书上我国外事部门的印章属实。另外,还有一种特殊的认证程序,那是办理发往未与我国建立外交关系的国家使用的公证书的认
证,可经我国外交部领事司认证后,转请与该国有外交关系的国家(第三国)驻华使馆认证。然后发往该国使用。
关于公证机关送认证的程序是:自1986年6月1日起,凡须办认证的公证书,均由公证处直接寄送中国旅行社总社签证代办处,由该处汇总后送外交部领事司办理认证,然后由该处再代向有关外国驻华使馆申办认证,并负责对办完认证手续的证书的转递事宜。还有两个特殊程序是:
(一)自1985年9月1日起,凡广东、福建两省所属公证处及上海市公证处发往各国使用的公证书,如果只需申办我国外交部领事司认证而不用申办有关国家驻华使馆领事认证者,一律由公证处直接向上述两省一市的外事办申请办理。
(二)自1985年1月1日起,凡发往美国、波兰、日本、法国、德国和澳大利亚等国家使用的公证书,如果需办理领事认证,有关地方公证处可将公证书直接寄送本省(市)外事办认证,并由外事办代办有关外国驻华总领事馆的认证。但如果有新的规定,应按新规定办理认证手续。公证服务办证流程
2007-5-24 16:11:59 开平市司法局 阅读28次
办证流程
一、申请与受理
1、公民,法人申请公证,应当向公证处提出,并填写公证申请表。公证申请表应填写下列内容:
①申请人及其代理人的姓名、性别、出生日期、身份证号码、工作单位、住址等;申请人为法人的,应证明法人的名称,地址、法定代表人的姓名,职务等;
②申请公证的事项及公证书的用途;
③提交材料的名称、份数及有关证人的姓名、住址;
④申请的时间及其它需要说明的问题。
申请人应在申请表上签名或盖章。申请人填写申请表确有困难的,可由公证人员代为填写。2、公民,法人申请公证应当提交下列材料:
①身份证明,法人资格证明及其法定代表人的身份证明;
②代理人代为申请的,须提交授权委托书或其它有代理权资格(法定代理、指定代理)的证明; ③需公证的文书,如合同、遗嘱、毕业证等;
④与公证事项有关的财产所有权证明;
⑤与公证事项有关的其它证明材料。
3、符合下列条件的申请,公证处应予受理:
①申请人与申请公证的事项有利害关系;
②申请公证事项的当事人,利害关系人之间对申请公证的事项无争议;
③申请公证的事项,属于公证处的业务范围;
④申请公证的事项属于本公证处管辖。对不符合条件的申请,公证处应作出不予受理决定,并通知申请人。
4、公证处受理公证申请后,应进行分类登记。登记事项包括,公证类别(如继承、收养、借款合同等)、当事人姓名(名称)、代表人(代理人)姓名、受理日期、承办人、审批人、办结日期、结案方式、公证书编号等。5、公证处受理公证申请后,应按规定标准向当事人收取公证费。公证办结后,经核定的公证费数额与预收数额不一致的,应当办理退还或补收手续。当事人交纳公证费有困难,应提出书面申请,由公证处主任或副主任决定是否减、免。
二、审查
1、公证审查,是公证处在受理当事人的公证申请后,出具公证以前,对当事人申请办理的公证事项及提供的证明材料进行的调查核实工作。
公证人员有收集证据的权利和义务,应当通过询问证人,调取书证、物证、视听资料、现场勘验、进行鉴定等方式、认真收集证据。当事人对申请公证的事项负有举证责任,应当向公证处如实陈述与公证事项有关的事实,并提供相应的材料。
2、公证处应重点审查:
①当事人的人数、身份、资格和民事行为能力;
②当事人的意思表示和相应的权利;
③需公证的行为、事实或文书的内容是否真实、合法;
④需公证的文书内容是否完善、文字是否准确,签名、印鉴是否齐全;
⑤当事人提供的证明材料是否真实、充分。
3、公证处认为当事人提供的证据材料不完备或有疑义的,应通知当事人作必要的补充或向有关单位、个人调查索取有关证明材料,并有权利现场作实地调查。公证人员从有关单位摘抄的档案或其它书面证据材料,应交该单位核对并盖章,有关单位应积极予以协助。
遇有专门性问题,公证处可聘请或委托专业部门,有专业知识的人员进行鉴定、翻译。鉴定结论或翻译材料应有鉴定人、翻译人员签名。
4、公证处可以应当事人的请求,帮助当事人起草,修改法律文书,如合同、遗嘱、声明等。当事人申请公证的文书内容不完善,用词不当的,公证人员应当指导当事人予以改正,当事人拒绝修改的,应在笔录中注明。
5、特别程序
①公证处办理招标投标、开奖、拍卖等公证事项,承办公证员应亲临现场,对其真实性、合法性予以审查核实。对真实合法的,当场宣读公证词。如发现当事人有能虚作假违反活动规则或违法行为的,应当场责令当事人予以改正;拒不改正的,公证员应当拒绝宣读公证词。
②遗嘱公证应由两名公证人员共同办理,由其中一名公证员在公证书上署名。
③公证处办理提存公证,应以通知书或公告方式通知债权人在确定的期限内领取提存标的物。债权人领取提存标的物时,应提供身份证明和有关债权的证明,并承担因提存所支出的费用。不易保存的或债权人到期不领取的提存物品,公证处可以拍卖,保存其价款。从提存之日起,超过二十年无人领取的提存标的物,视为无主财产,上交国库。
三、出证和送达
1、出证、是公证处根据审查的结果,对符合条件的公证事项,依法制作,出具公证书的活动。出证条件如下:
①法律行为(如签订合同、设立遗嘱、继承遗产、收养子女、提存等)公证应符合下列条件:
a、行为人员具有相应的民事行为能力; b、意思表示真实;
c、行为的内容和形式不违反法律、法规、规章或社会公共利益。
②有法律意义的事实或文书公证,应符合下列条件: a、该事实或文书对公证当事人具有法律上的利害关系; b、该事实或文书真实无误;
c、事实或文书的内容不违反法律法规。③文书上的签名、印鉴公证,其签名、印鉴应当准确属实;文书的文本公证,其文本内容应当与原本完全一致。
④赋予债权文书具有强制执行效力的公证应当符合下列条件: a、债权文书经过公证证明;
b、债权文书以给付一定货币,物品或有价证券为内容;
c、债权文书中载明债务人不履行义务时应受强制执行的意思表示。
2、符合条件的公证事项,由承办公证员草拟公证书后连同公证卷宗,报公证处主任、副主任或其指定的公证员审批出证。
3、公证书应按司法部规定或批准的格式制作。
①公证证词中注明的文件是公证书的组成部分。
②公证书不得涂改、挖补、必须修改的应加盖公证处校对章。
③公证书应使用中文,在少数民族聚属或者多民族共同属任的地区,除涉外公证事项外,可使用当地民族通用的文字。
④根据需要或当事人要求,公证书可附外文译文。
⑤除法律另有规定外,公证书从审批人批准之日起生效。
审批人批准日期即为出证日期。
⑥公证书需要办理领事认证的,应由承办公证处送有关部门认证,并代收认证费。
4、公证书由当事人或其代理人到公证处领取。必要时也可由公证处发送。当事人或其代理人应在公证书送达回执上签名或盖章,并注明收到的日期、份数和公证书编号。
四、期限、拒绝和复议
1、公证事项从受理之日起一个月内办结。重大复杂的,当事人举证不足的,或者需委托调查的公证事项,经公证处主任或副主任批准,可适当延长,但最长不得超过六个月。
2、对不真实、不合法的行为、事实和文书,公证处应拒绝公证。
3、公证处或它的同级、上级司法行政机关,发现已发出的公证文书内容不真实或违反法律、社会公共利益的,应当撤销公证书。
UL全球高级副总裁、亚太区总裁费杰琛先生表示:“UL一直致力于为全球消费者使用的创新类产品提供安全解决方案,平衡车便是其中一例。通过UL2272认证意味着平衡车的电路系统安全性能符合电路与防火安全的认证要求。这份基于第三方独立检测机构的评估将帮助纳恩博这样的平衡车制造企业证明其自身产品对严苛安全标准的合规性。此外,消费者们能够更加放心得购买该产品,零售商们也能自信的采购经UL认证的平衡车产品,并将UL 2272标准贯彻到自己的采购政策中。”他强调,以前UL更多的是帮助中国企业把安全的产品传递到世界各地,随着中国制造从成本向质量的转变升级,UL将为中国的消费者获得安全优质的产品提供更多服务。
纳恩博公司首席运营官赵忠玮女士在讲话中表示,“纳恩博十分荣幸能凭借其生产的平衡车型号N3M320获得UL 2272安全认证,这意味着纳恩博生产的平衡车符合UL对平衡车安全性能的标准要求。纳恩博自创立以来一直将产品质量和安全放在首位。此次纳恩博获颁UL认证,将为消费者提供电气安全保障并建立一个安全有保障的购买环境,让更多人能享受到平衡车为生活带来的乐趣和改变。”
据美国消费品安全委员会报告称,2015年12月到2016年2月,美国有52起与平衡车有关的起火事件发生,直接导致的经济损失约200万美元。美国消费品安全委员会(简称CPSC)在2016年初对其国内平衡车市场开始整顿,要求针对所有平衡车制造商、进口商和零售商在美国本土所生产、进口、销售的平衡车必须符合现行适用的非强制性安全标准,包括UL2272涵盖的所有标准要求。
(供应届毕业生申请专用)
申请人姓名(中文)学号 出生年月
年
月
性别 班级
身份证号
注:认证项目请填写申请认证证书名称(如博士学位、硕士学位、学士学位等)。
注:本表一式二份,学位授予单位一份,省学位办一份。
教育部学位与研究生教育发展中心制
填表说明
1)有效营业执照
2)企业组织机构代码证
3)商标注册或商标授权使用说明
4)行业生产许可证(工业生产许可证目录内的产品)5)环境影响评价报告
6)三废检测报告(相关行业需要时、在有效期内)
7)三同时验收报告 2003年1月1日以后成立的企业:提供环境影响评价报告批复复印件,竣工验收通过的批准文件复印件。2003年1月1日前成立的企业,若未进行环境影响评价,需提交当地环境管理部门出具的守法证明,证明中需明确近年来的环境行为和执行标准的名称和相应时段、级别。
8)产品质量检验报告
9)产品质量执行标准(国标或企标)
10)产品彩色照片
11)工艺流程图或产品配比表
12)企业组织架构图
13)企业厂区平面图
14)环境标志保障体系文件
在车联网中,车辆可以通过车载单元OBU( On Board Units) 与其他车辆通信,也能够与附近的路边基础设施RSU( Road Side Units) 实现V2R通信获得更多的服务,例如连接互联网[1]。一般情况下,车辆通过感知周围的交通信息,如速度、加速度、方向等,并把这些信息发送给附近的车辆,是车辆提前知道自己前方路径上的交通状况,有利于避免交通事故。而恶意车辆通过假扮多个虚假身份发动Sybil攻击,向周围车辆发送虚假的交通信息,很容易导致交通堵塞[2]甚至严重的交通事故。
最早,Sybil攻击是由Douceur[3]提出的,作者认为在peer - to - peer网络中,存在一个实体假扮多个身份来攻击其他实体的威胁。研究发现,不仅在peer - to - peer网络,在传感网,VANETs中同样存在这种攻击。目前VANETs中,主要的Sybil攻击检测方案大多是基于信号强度、资源监测、身份认证[4~12]等。基于信号强度的方案如文献[4]、[5] 等,比较依赖硬件的支持。而文献[6]、[7]中,基于资源监测的方案面对资源较多的攻击者将毫无抵抗能力。这使得基于身份认证的检测方案成为主流方法[8~12]。其中文献[8]中提出了一个使用假名抵御Sybil攻击的车辆隐私保护方案,系统为每个车辆分配一定数量的假名,滥用假名会被RSU检测出来。 并且这个方案要求RSU的通信范围覆盖整个网络, 通过RSU一直监听、计算的方式来发现是否有恶意车辆发起Sybil攻击。这样RSU的负担将会非常重,影响其他功能的使用。文献[8]与文献[10]不同,RSU只是负责转发消息,车辆假名的产生和认证都由区域服务器完成,而车辆的身份是由车辆的唯一ID和密钥做HASH生成。这种身份产生方式, 牺牲了隐私性,导致车辆位置隐私的泄漏。文献 [9]、[11]、[12]利用从认证中心获得的认证信息, 来抵御Sybil攻击。文献[11]利用非假名的发现消息来保护隐私记得安全,每一辆车在报告任何事件之前都需要从BRSU ( Border RSU) 获得一个" 记号" 。该方案需要BRSU覆盖全网,如果BRSU被攻击,无法为车辆提供" 记号" ,被攻击BRSU覆盖范围的车辆就无法发送消息。在文献[12]中,车辆从附近RSU收集带有RSU签名的时间戳信息,并以时间戳序列作为自己在通信时的身份信息。文献 [9]提出一种足迹的方案来检测Sybil攻击,在他们的方案中,车辆通过主动向经过的RSU请求认证信息,作为在某个时刻从RSU经过的证据。他们的方案能为车辆产生一个基于隐私保护的位置隐藏路径信息。
本文提出一种基于证书的身份认证方案,实现车辆独立检测Sybil攻击,通过追踪恶意车辆的真实身份,防止其从系统获得合法身份,避免攻击者的再次攻击,降低了检测车辆的认证开销。
2系统简介
2.1系统模型与假设
VANETs不用于传统的因特网和移动蜂窝网, 它主要的通信方式为无线,通信实体为车辆。它主要由两种通信模式组成,分别是车辆与路边单元RSU通信( V2I) 和车辆与车辆通信( V2V) 。图1为系统模型图。
( 1) 信任实体TA ( Trust Authority)
为了保证系统的有序运行,需要一个充分可信任的服务器TA,它存储着所有经过认证的车辆用户的隐私信息,为整个VANETs提供认证和签名。
( 2) 区域服务器LS ( Local Server)
同时连接多个RSU,并与TA连接,把RSU发送的请求消息发送给TA。同时,车辆的区域注册信息保存在LS。
( 3) 路边基础设施RSU
RSU属于路边基础设施,可以通过无线与车辆通信,也可以通过有线与LS通信。每个RSU通过接收车辆发过来的请求信息,并对该信息进行计算验证,然后对合法的车辆提供服务,但RSU并不知道车辆与LS的通行内容。
( 4) 车辆OBU ( On - board Units)
每个车辆上都装有一个OBU模块,它使得车辆可以通过无线方式和道路上的其他车辆或者RSU通信,获得VANETs提供的服务。
我们采用与相关文献[11]、[13]、[17]相同的安全假设:
假设一: 可信中心( TA) 和区域服务器( TA) 是完全可信的。
假设二: RSU与LS之间的信息同步。
RSU通过有线网络连接LS,有线连接消息传递时延较小,RSU与LS之间的同步很容易实现。
2.2设计要求
城市VANETs环境下的合谋Sybil攻击检测方案,需要满足以下几个要求:
( 1) 车辆位置隐私保护: 避免车辆的位置隐私泄露造成车主个人隐私被泄露。
( 2) 较小的认证开销: 认证开销过大,会导致车辆在身份认证上花费大量资源,不能满足城市道路环境中车辆需求。
( 3) 独立检测: 由于不是在任何位置车辆都能够获得RSU的服务,因此车辆必须具有独立检测的能力。
3车辆身份认证方案设计
3.1双线性对
假设G和G'为两个加法循环群,GT为乘法循环群,它们的阶都是p。对所有的a,b ∈ Zq*和任意的P1∈ G和P2∈ G',在非退化的可计算线性映射e: G × G'→ GT下,满足ē( a P1,b P'2) = ē( P1,P'2)ab∈ GT。 令P和P'为群G和G'的生成元,同时 φ 为从G'到G的一个同态映射,其中P = φ( P') ,ē( P,P') ≠ 1GT。
3.2系统初始化
( 1) TA初始化
TA配置车辆身份认证系统中签名所需参数,系统参数为 ( q ,U,U',G,G',GT,e,p,p',Enc( ) , event,h) 。其中TA随机选择u ∈ Zq*为私钥,并计算U = up ∈ G和U'= up'∈ G'; G和G'为两个加法循环群,GT为乘法循环群; P和P'分别为G和G'的生成元,并且P = φ( P') ,即G和G'同构; e为一个有效的双线性对映射: e: G × G'→ GT; Enc( ) 是一个安全的对称加密算法; event为系统事件; h为hash操作。
( 2) 区域服务器( Local Server) 初始化
区域服务器LS加入车辆身份认证系统后,从TA获取公私钥对 ( Li,xi) 以及系统参数,私钥xi∈Z*q由TA随机选取,公钥由TA的私与LS的私钥计算得到,其中u为TA的私钥,P为系统公共参数。
( 3) RSU初始化
RSU从LS获取公私钥对 ( PKRs,SKRs) 以及系统参数 ( q ,U,U',G,G',GT,e,p,p',Enc( ) , event,h) ,根据各个RSU所属LS,RSU将所属的LS的公钥与系统参数作为区域广播消息广播给系统中的车辆,其中区域广播消息为 ( q ,U,U',G,G',GT, e,p,p',Enc( ) ,event,h,Li,PKRs) 。
( 4) 车辆身份注册
车辆第一次加入VANETs时,需要在TA注册来获取一个唯一的合法的身份。TA认证车辆的身份合法后,为其分配身份信息RID以及密钥SK,其中。车辆可以直接从RSU的广播信息来获得系统参数,车辆使用这些参数来验证系统中其他实体的合法性。
3.3车辆身份认证与Sybil攻击检测
3.3.1车辆身份认证
在本文的方案中,车辆通过生成一个临时有效的密钥与LS通信,保证车辆的隐私信息不会因RSU被俘获而泄露。同时,这种方式也避免了车辆每次通过一个RSU就需要生成一个密钥,减少了一些不必要的通信和计算开销。此外,LS在认证车辆身份之前,都需要验证该车辆是否在TA发布的撤销列表中。如果请求认证的车辆在撤销列表中,LS将不会做出任何回复。通信过程如图2所示,具体步骤如下:
步骤1: 车辆Vi使用真实身份RIDi和私钥SKi计算得到车辆身份注册信息h( RIDj‖SKj) ,并随机选择r1∈ Zq*,计算R = r1Li和S = e( p,p')r1,将M =R| |C发送给LS, 其中C= Encs( h( RIDj‖SKj) ‖PKj,1) ,S为车辆与LS的会话密钥,PKj,1为车辆Vj生成的公钥。
步骤2: LS收到Vi发送的消息M后,从M中分别获取R和C ,计算
使用会话密钥S'解密C得到h( RIDj‖SKj) ‖PKj,1, 并将车辆的身份注册信息h( RIDj‖SKj) 发送给TA。TA从车辆注册信息中寻找是否存在车辆K,使得h( RIDk‖SKk) = h( RIDj‖SKj) ,如果存在则向LS返回验证成功,否则返回验证失败。
步骤3: LS收到验证成功的信息后,为Vi分配证书。LS首先随机选择rL1∈ Zq*,并计算K = rL1p' 和 δ ,其中
使用计算得到的K和 δ 以及其他参数做哈希计算得到c = h( U‖Li‖PKj,1‖K‖t‖δ) 和Rx= rL1+ c × ximodq。最后,将( Certi,PKj,1) 作为证书发送给Vi, 其中Certi= ( K,c,Rx) 。
步骤4: Vi收到证书后,需要验证证书的合法性。车辆首先通过当前事件event计算得到t = h( event) 以及 δ',其中
通过计算c'= h( U‖Li‖PKj,1‖K‖t‖δ') 来验证c = c'是否成立,因为
如果c = c'成立则验证通过,证书合法; 否则未通过,为非法证书。
3.3.2Sybil攻击检测
车辆从LS获取认证后,使用 ( Certi,PKj,1) 作为车辆的有效身份实现车辆身份认证,如果恶意车辆使用该身份对多个相同的消息签名,将被检测为Sybil攻击。车辆将把发动Sybil攻击的身份发送给LS,防止恶意车辆的再次攻击,其中具体过程如下:
M为车辆Vj需要发送的消息,Vj使用与PKj,1对应的私钥SKj,1对消息M签名得到M‖SSKj,1( M) ,并与证书一起发送给其他车辆验证。
Vj附近的车辆收到M‖SSKj,1( M) 后,首先验证消息的完整性。验证车辆从Certi中提取公钥PKj,1对SSKj,1( M) 解密得到M1,即
如果M = M1,则该消息是由证书的拥有者签名; 如果不成立,则该证书不属于被验证车辆,M为恶意车辆发送的虚假消息。
在消息完整性成立的前提下,验证车辆继续验证车辆证书的合法性,其验证过程与上一节中步骤4相同。如果验证不通过,则M为恶意消息。
当恶意车辆对同一个消息签名多次,很容易被其他车辆检测出来,检测车辆将恶意车辆的 ( Certi, PKj,1) 以及对应的签名信息作为Sybil攻击的证明, 一起发送给LS,从而完成Sybil攻击检测。
3.4车辆真实身份追踪
LS收到恶意车辆身份以及相关签名后,经过验证确定是Sybil攻击行为后,从车辆的注册信息中找出与恶意 身份公钥PKj,1对应的区 域注册信 息 ( h( RIDj‖SKj) ‖PKj,1‖t) ,并将h( RIDj‖SKj) 发送给TA。
TA收到LS发送的恶 意车辆注 册信息h( RIDj‖SKj) 后,找出该身份对应的车辆真实身份RIDj,将该身份标记为不可用。当系统进入下一个事件时,恶意车辆将无法使用自己的RIDj通过系统认证来获取合法证书,从而无法再次攻击其他车辆。
4实验与分析
本文使用NS - 2仿真软件来分析本文方案的时间开销和检测效果,参数设置如表1所示:
本文在仿真实验中设置了45个正常节点和5个Sybil节点,并分别在丢包率方面和误报率方面测试本文方案的性能。
由于本文的方案中,车辆将检测为Sybil攻击的数据包丢弃,因此,随着恶意车辆的增加,丢包率增加,数据包的接收率降低,如图3所示。从图4可以看出,系统中恶意车辆发动Sybil攻击越多,误报率也随着升高。
5结语
有很多国家的高校在留学生毕业后几个月甚至是一年之后才能获取毕业证书和学位证书,于是很多留学归国的同学就很担心在没有正式拿到国外学历学位证书的这段时间能不能办理国外学历学位认证,要是不能办理的话,就会影响就业和评定的。
在这里告诉大家未获得国外学历学位证书是可以办理的国外学历学位认证的,但是需要颁证院校有关部门签发的证明。
考虑到有些国家(地区)的高校在学生毕业后几个月或一年后才能颁发学位(毕业)证书,为便利留学回国人员就业,申请者可请颁证院校有关部门签发一份说明申请者已经通过考试并获相应学位的书面证明,以此来证明留学生在本院校就读并已经通过考试获得相应的学位,然后经由教育部留学生服务中心经过认证评估,出具一份为期6个月的认证证明,留学生可以凭此认证证明在国内求职就业。但由于缺少正式学位证书,开具书面证明的工作周期较长,会超出20个工作日会超过20个工作日。
[字号:大 中 小]
新华网北京7月19日电(记者 吴晶)教育部19日在教育涉外监管信息网公布了经过合法批准的四百多家本科中外合作办学名单。这四百多家中外合作办学都是本科以上层次的中外合作办学机构或项目。
这是2004年国务院《中外合作办学条例》颁布实施以来,教育部首次全面系统公布经批准的中外合作办学信息。
教育部在网站信息中对如何选读中外合作办学机构或项目做出六个方面的重要提醒:
一、关注所就读的中外合作办学机构或项目是否是经过合法审批,最主要的是要查看办学者是否能提供审批部门所颁发的同意其办学的文件。没有上述许可证或批准书的不是中外合作办学。
二、关注实际办学情况,尤其是教育教学质量。如,学生入学标准、外国师资配备情况、课程设置情况、办学环境与条件等。另外,要了解毕业生的就业情况,必要时应向相关单位核实有关信息的真伪。
三、关注学校的招生宣传与实际办学情况是否一致。重点考察招生宣传中的办学地点、收费项目与数额(须由中外合作办学所在地省政府批准)、招生人数等是否与实际办学情况一致。
四、关注招生标准。按照规定,实施我国高等学历教育的,须按照同地区同批次计划内录取。实施外国教育机构学历、学位教育的,其录取标准应当不低于外国教育机构在其所属国的录取标准。
五、关注招生计划。按照规定,颁发中国高等学校学历学位的中外合作办学机构招生必须纳入国家高等学校招生计划。而实施外国教育机构学历、学位教育的,也应具有由国家教育主管部门核定的招生计划数。
六、关注中外合作办学的评估和认证情况。教育部已推行中外合作办学评估和加强合作办学证书颁发的认证注册两项举措,可通过了解这两方面的内容,做出更恰当的就学选择。
记者还了解到,教育部留学服务中心已公布国外学历学位认证范围,有七种证书不能认证:
一、参加外语培训或攻读其他非正规课程(如短期进修)所获得的结业证书;
二、进修人员、访问学者的研究经历证明和博士后研究证明;
三、国(境)外高等院校或其他高等教育机构颁发的预科证明;
四、国(境)外非高等教育文凭、荣誉称号和无相应学习或研究经历的荣誉学位证书;
五、未经中国政府相关教育行政部门批准的办学机构(项目)颁发的国(境)外学历学位证书或高等教育文凭;
六、通过函授、远程教育及网络教育等非面授学习方式获得的国(境)外学历学位证书或高等教育文凭;
七、国(境)外各类职业技能或职业资格证书。
以往的安全播出体系建设比较注重防范设备和系统故障或瘫痪, 而对于人员的越权操作或恶意访问, 技术上的安全防护比较薄弱, 传统口令认证方式, 容易出现用户账号盗用和密码暴力破解, 在日益复杂的网络互联环境下, 存在较大的安全隐患, 容易受到恶意攻击, 即使加强机房和人员管理, 也很难以进行有效的安全防范。因此, 必须采用更加安全和先进的技术加以巩固和完善, 增强对访问网络的管控能力。
一双因素认证的主要特征
所谓双因素认证, 由基本身份认证和附加身份认证组成。基本身份认证是指用户知晓并使用的用户名及口令/密码;附加身份认证是指用户持有、保管并使用可实现其他身份认证方式的信息 (物理介质或电子设备等) 。附加身份认证信息应不易被复制、修改和破解。从技术上来说, 附加身份认证包括数字证书 (USB Key) 、动态密码 (令牌、密码卡、刮刮卡) 、生物认证 (虹膜、指纹等) 。
随着信息化、网络化发展, 越来越多行业的核心业务依托于局域网或互联网, 必须有效鉴别用户真实身份, 才能赋予相应资源访问或业务操作权限, 支持用户完成业务交易或操作, 并对整个交易或操作过程进行抗抵赖审计。双因素认证具有的高安全优势, 使其得到越来越多关注, 在银行、证券、电子商务等行业都有很成熟的应用。
二双因素认证技术的对比分析
1. 基于PKI体系的数字证书认证技术
PKI体系通常包括RA、CA、KM和OSCP等组成部分, 实现数字证书的申请、审核、签发、注销、更新、查询的综合管理, 主要目的是通过自动管理密钥和证书, 为用户建立起一个安全的网络运行环境, 使用户可以在多种应用环境下方便地使用加密和数字签名技术, 从而保证网上数据的机密性、完整性、有效性。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥文件, 用来识别电子证书持有者的真实身份。
2. 主要几种双因素认证技术的对比分析
前文提到, 技术上来说, 附加身份认证可以为数字证书 (USB Key) 、动态密码或生物认证, 现将主要几种双因素认证技术对比如表2。
通过对比分析, 可以看到基于PKI体系的数字证书认证技术, 采用软硬件相结合, 通过对数字证书进行加密传输和数字签名, 实现一次一密的强双因素认证方式, 安全可靠、成本低廉, 易于部署, 方便使用, 便于扩展。
根据对认证技术的安全度、成熟度、部署便利性和建设成本等方面综合分析, 结合电视台播出业务流程和安全播出管理要求, 我们认为基于PKI体系的数字证书认证技术适合应用于增强播出网络安全防范。
三播出网络安全认证体系建设
播出网络是电视台核心业务系统, 有很高的安全播出保障要求和信息系统安全等级保护要求。而且, 随着播出业务的不断发展, 相关业务的运作方式、用户数量、访问形式等方面, 又有了更加灵活、更具个性化的要求。因此, 当前播出网络使用的传统口令认证方式, 已经明显不适应系统在数据保密性、完整性, 身份认证与授权正确性, 业务操作或交易的抗抵赖性等方面的需要。
因此, 我们认为有必要以播出网络实施安全等级保护建设为契机, 部署基于PKI体系的数字证书认证产品, 并在保证播出业务正常运作的前提下, 将其与系统各层面的资源授权、审计管理进行有效整合, 来重新构建起基于双因素认证的安全认证体系, 从而, 实质性地提升播出网络的安全管控水平。
1. 安全认证体系构建
基于双因素认证的播出网络安全认证体系, 应该包括三个层次:基础设施、应用支撑, 以及用户与资源对象。只需在原有业务支撑平台上, 配备一套专门服务于播出网络的PKI/CA认证系统, 实现播出网络使用的数字证书申请、审核、签发、注销、更新、查询等综合管理, 还要配备颁发给所有合法用户的USB KEY硬件密钥, 唯一标识其应用或管理身份, 从而完成安全认证体系的基础设施建设。
基础设施的作用在于数字证书颁发和管理, 以及用户真实身份鉴别, 要应用其实现对系统资源的安全管控, 对用户行为的合理规范, 还必须与网络系统各层次资源授权和审计管理结合起来。因此, 有必要再根据安全管理的实际需要, 部署身份认证网关、终端安全系统和IT运维管理系统等设备, 基于双因素认证, 实现对系统各种资源的认证、授权和审计的应用支撑。
构建了基于双因素认证的安全认证体系后, 播出网络将有效阻断非法用户的恶意访问或入侵, 增强了系统数据的保密性和完整性。合法用户通过双因素认证完成真实身份鉴别后, 将被授予其所需的最小资源使用权限, 有效防范用户的越权操作或恶意操作, 在其进行相关操作时, 还将基于其真实身份进行实时审计, 能在其出现误操作或恶意操作时, 追究其安全播出责任, 并具有很强的抗抵赖性。
2. 安全认证体系应用分析
(1) 应用系统整合, 增强业务流程可控性
业务应用软件是支撑业务运作的重要平台, 也是用户与系统进行交互的窗口。播出网络有上载、签审、编单、播控等应用软件, 用户在使用应用软件时, 有时需要长时间开启软件, 甚至中途还会离开, 很难防备其他用户盗用账号, 进行越权误操作或恶意操作, 给安全播出保障留下一定安全隐患。
而且, 这些应用软件有很多业务操作比较关键, 如:上载软件的重上载、素材删除、素材交换, 编单软件的审核、审批和发单, 签审软件的审核、签审, 等等, 操作不当都可能直接影响安全播出。使用传统口令认证方式, 很难达到安全播出对软件使用的管理要求, 也很难对关键业务操作进行较细粒度的安全管控。
要实现安全认证体系与应用系统的整合, 只需基于安全认证基础设施, 再部署一套身份认证网关, 并对应用软件进行相应定制开发, 在软件相应功能模块, 根据需要调用身份认证网关提供的API接口, 就能做到先进行用户真实身份鉴别, 再根据用户授权情况, 选择是否进入应用软件相应功能实现。
通过基于双因素认证的安全认证体系建设, 并实现其与应用系统的整合, 可以不影响业务正常运转的前提下, 很好适应播出网络的业务运作特点, 有效防范盗用账号进行节目签审、上载和编单, 防范对节目素材的恶意修改或替换, 防范对节目单的篡改, 在出现因人为误操作导致安全播出追责时, 可以有效抗抵赖, 实现对应用系统更加准确、安全的管控。
通常身份认证网关都支持主路模式和旁路模式部署, 为了实现高效、集中的身份认证, 并将对业务运作的影响降到最小, 我们建议使用旁路模式部署。在应用软件定制开发时, 要能在软件的系统配置中, 设置是否进行关键操作的身份认证开关。在身份认证网关设备出现故障时, 可以重新设置该项开关, 从而在业务应用软件忽略身份认证过程。
(2) 增强网络边界安全防护能力
终端主机是播出网络的重要边界, 也是用户与系统交互的重要平台, 既要求能高效支撑业务运作, 又要能有效控制用户对主机资源的使用, 避免出现滥用或越权操作, 因此, 具有较高的安全防护难度。通常这些终端工作站都存放在防护条件一般的工作区域, 进出人员比较难管理, 存在一定的安全隐患。
传统口令认证方式, 只能实现终端主机的操作系统、应用软件等层面, 针对用户的分离认证, 既无法保证对主机访问的安全控制, 又无法实现统一的主机资源授权和审计管理。
基于安全认证体系, 并部署与之相结合的终端安全防护系统, 可以强化对网络终端主机的安全防护。如图3所示, 客户端向服务端发送请求下载密钥信息和安全策略, 服务端将USB Key中数字证书添加到终端防护系统中。通过这种方式, 可以实现统一的终端安全策略下发、用户认证和审计管理。
实现双因素认证的终端安全防护系统, 还可以限定不同身份用户登录终端主机范围。业务用户和管理用户都必须通过双因素认证 (USB Key和PIN) , 才能登录终端主机。不同用户登录后, 会被授予不同的主机资源控制权限。通过对不同用户面向不同终端主机资源的准确访问控制, 能够有效实现对网络边界的安全防护, 确保播出网络安全。
(3) 增强核心设备的运维管理安全
交换设备、数据库、存储阵列、视频服务器和核心服务器等, 都是播出网络的核心设备。在进行安全等保建设前, 这些核心设备的运维管理, 通常都是直接面向设备来进行, 而且, 管理用户都采用传统口令认证方式登录设备, 进行运维操作, 运维过程也无法进行实时记录和审计, 存在一定安全隐患。
基于安全认证体系, 并部署与数字证书相结合的IT运维管理系统, 指定对应设备管理权限用户, 能登录指定的运维终端, 对指定设备进行运维管理, 能实现对核心设备的主备分开运维。还可以为不同管理用户赋予不同设备对象的运维权限, 实现分权管理, 避免出现超级用户, 约束、分解管理员的操作权限。
通过对核心设备的分权、分开运维, 可以实现安全、规范的设备运维操作, 防范非管理权限用户盗用账号进行恶意操作的风险, 降低管理员越权误操作和恶意操作的影响范围, 还能实现对运维操作进行过程审计, 保证出现问题时防备相关责任人员抗抵赖, 从而, 强化了对播出网络核心设备的安全防护。
(4) 增强网络外部访问的管控能力
随着播出业务的不断发展、播出形态的不断拓展, 播出网络与外部系统和用户的交互也越来越频繁。基于安全认证体系, 能方便实现来自外部网络的合法用户和主机, 通过VPN访问播出网络的应用服务, 进行业务操作或参与互动活动。外部网络与播出网络之间进行大文件数据传输时, 安全认证体系还能对指定的传输服务器部署内置USB KEY, 通过数字签名方式, 能有效防范数据传输过程中被篡改, 确保数据传输安全。
四结束语
【认证证书和认证标志管理办法】推荐阅读:
认证证书和认证标志管理规定09-14
认证人员管理制度07-14
质量管理与质量认证10-09
试论质量管理体系认证10-17
新疆环境管理体系认证管理办法07-14
安全及职业安全卫生管理体系认证09-12
药品经营零售企业经营质量管理规范认证06-21
体系认证05-29
认证申请流程06-08
