电子政务电子认证服务业务规则规范.doc

1、电子政务电子认证服务业务规则规范Certification Practice Statement Standard for E-Government国家密码管理局2018 年 11 月I目 次前 言 .II引 言 .I1 范围.12 规范性引用文件.13 术语和定义.14 符号和缩略语.25 电子政务电子认证服务业务规则管理规范.35.1 策略文档管理.35.2 联系方式.35.3 批准程序.36 电子政务电子认证服务业务要求.36.1 数字证书服务.36.2 应用集成支持服务.76.3 信息服务.86.4 使用支持服务.96.5 安全保障.97 电子政务电子认证服务操作规范.117.1 数字

2、证书服务操作规范.117.2 应用集成支持服务操作规范.167.3 信息服务规范.177.4 使用支持服务操作规范.187.5 安全保障规范.198 电子政务电子认证服务中的法律责任相关要求.248.1 要求.248.2 内容.24附录.27II前 言本 规 范 所 称 电 子 政 务 电 子 认 证 服 务 ， 是 指 为 各 级 政 务 部 门 开 展 社 会 管 理 、 公 众 服 务 等 政 务 活 动提 供 的 电 子 认 证 服 务 。 电 子 政 务 内 网 电 子 认 证 服 务 有 关 要 求 不 在 本 标 准 内 涉 及 。本 规 范 是 开 展 电 子 政 务 电 子

3、认 证 服 务 （ 以 下 简 称 “电 子 认 证 服 务 ”） 的 基 础 性 规 范 之 一 ， 它 描述 了 电 子 认 证 服 务 机 构 采 用 密 码 技 术 ， 通 过 数 字 证 书 提 供 电 子 认 证 服 务 的 主 要 内 容 及 要 求 ， 明 确了 电 子 认 证 服 务 过 程 中 的 关 键 环 节 和 操 作 规 范 ， 并 就 电 子 认 证 服 务 的 相 关 法 律 责 任 与 关 系 进 行 了说 明 。本 规 范 由 国 家 密 码 管 理 局 提 出 并 归 口 。本 规 范 主 要 修 订 单 位 ： 北 京 数 字 认 证 股 份 有 限 公

4、 司 、 航天信息股份有限公司、数 安 时 代 科 技 股份 有 限 公 司 、 北 京 市 密 码 管 理 局 、 天 津 市 国 家 密 码 管 理 局 、 上 海 市 数 字 证 书 认 证 中 心 有 限 公 司 、国 家 信 息 中 心 、 吉 林 省 安 信 电 子 认 证 服 务 有 限 公 司 、 重 庆 程 远 未 来 电 子 商 务 服 务 有 限 公 司 。本 规 范 主 要 修 订 人 ： 李 述 胜 、 郭 宝 安 、 商 晋 、 薛 迎 俊 、 魏 一 才 、 冯 育 晖 、 贾 旭 、 刘 长 明 、 崔久 强 、 国 强 、 何 立 波 、 刘 磊 。I引 言电

5、子认证服务是保障电子政务电子签名安全可靠和信息系统安全运行的重要基础性服务。依照电子政务电子认证服务管理办法的相关要求，电子政务电子认证服务机构（以下简称“认证机构”）应取得电子政务电子认证服务机构资质后，方可开展电子认证服务业务。为了更好地服务于电子政务业务、提升行业服务水平、促进行业健康发展，本规范从服务内容、服务质量、业务操作规范等主要方面，对电子认证服务活动提出了明确要求。通过本规范的实施，将不仅有利于指导认证机构开展电子认证服务工作，也为国家密码管理部门组织开展电子政务电子认证能力评估和监督检查工作提供依据。1电子政务电子认证服务业务规则规范1 范围本规范明确了电子认证服务业务规则管

6、理规范、业务要求、操作规范、服务质量保障及相关法律责任等。本规范适用于参与电子认证服务业务的相关实体，用于规范认证机构开展电子认证服务体系建设以及相关服务活动，也用于为国家密码管理部门组织开展电子政务电子认证服务能力评估和监督检查提供依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。GM/Z 0001 密码术语GM/T 0015 基于 SM2 密码算法的数字证书格式规范GM/T 0016 智能密码钥匙密码应用接口规范GM/T 0017 智能密码钥匙密码应用接口数据

7、格式规范GM/T 0018 密码设备应用接口规范GM/T 0019 通用密码服务接口规范GM/T 0020 证书应用综合服务接口规范GM/T 0028 密码模块安全技术要求GM/T 0034 基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范GM/T 0054 信息系统密码应用基本要求3 术语和定义GM/Z 0001 确立的以及下列术语和定义适用本文件。3.1公钥基础设施 public key infrastructure（PKI ）基于公钥密码技术实施的具有普适性的基础设施，可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。3.2加密 encipherment/encrypti

8、on对数据进行密码变换以产生密文的过程。3.3加密证书 encipherment certificate/exchange certificate用于证明加密公钥的数字证书。3.4密码模块 cryptographic module实现密码运算功能的、相对独立的软件、硬件、固件或其组合。3.52密码算法 cryptographic algorithm描述密码处理过程的运算规则。3.6密钥 key控制密码算法运算的关键信息或参数。3.7证书更新 Certificate update指在不改变密钥的情况下，用一个新证书来代替旧证书的过程。3.8密钥更新 key update用一个新密钥来代替旧密钥的

9、过程，通常指证书与密钥同时更新。3.9密钥恢复 key recovery将归档或备份的密钥恢复到可用状态的过程。3.10签名证书 signature certificate用于证明签名公钥的数字证书。3.11身份鉴别/实体鉴别 authentication/entity authentication确认一个实体所声称身份的过程。3.12数字签名 digital signature签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。3.13数字证书 digital certificate也称

10、公钥证书，由证书认证机构（CA）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书。3.14私钥 private key非对称密码算法中只能由拥有者使用的不公开密钥。3.15SM2 算法 SM2 algorithm一种椭圆曲线公钥密码算法，其密钥长度为256 比特。33.16证书撤销列表 certificate revocation list （CRL）由证书认证机构（CA）签发并发布的被撤销证书的列表。3.17证书认证机构 certification authority（CA）对数字证

11、书进行全生命周期管理的实体。也称为电子认证服务机构。3.18证书注册机构 registration authority （RA）受理数字证书的申请、更新、恢复和注销等业务的实体。3.19证书依赖方 certificate dependent依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是也可以不是一个证书持有者。4 符号和缩略语下列缩略语适用于本文件：CA 认证机构(Certification Authority)CPS 证书业务声明（Certification Practice Statement）CRL 证书撤销列表(Certificate Revocation

12、List)LDAP 轻量级目录访问协议(Lightweight Directory Access Protocol)OCSP 在线证书状态协议（Online Certificate Status Protocol ）RA 注册机构(Registration Authority)LRA 证书注册受理点（Local Registration Authority ）5 电子政务电子认证服务业务规则管理规范5.1 策略文档管理认证机构应成立本机构的电子政务电子认证服务业务规则的管理机构，对本机构的电子政务电子认证服务业务规则进行维护与管理，包括：1. 确定电子政务电子认证服务业务规则的维护职责，并建立

13、合理有效的电子政务电子认证服务业务规则修订和批准流程；2. 电子政务电子认证服务业务规则管理机构应定期对存在的业务风险进行评估，并及时对电子政务电子认证服务业务规则进行修订。按照电子政务电子认证服务管理办法规定，应将制定后的电子政务电子认证服务业务规则及时报国家密码管理局进行备案，并在服务范围内公开发布。5.2 联系方式认证机构应在电子政务电子认证服务业务规则中明确本机构对外的相关联系内容，包括：1. 本机构电子政务电子认证服务业务规则的发布地址2. 机构网站地址3. 电子邮箱地址44. 联系地址5. 联系部门6. 电话号码7. 传真号码5.3 批准程序认证机构应在电子政务电子认证服务业务规则

14、中明确该业务规则的批准程序，包括：1. 起草小组的成立流程；2. 电子政务电子认证服务业务规则管理机构的审批流程；3. 发布流程；4. 向主管机关的备案流程。6 电子政务电子认证服务业务要求电子政务电子认证服务机构应当按照电子政务电子认证服务管理办法所规定的服务内容及要求开展相应的电子认证服务活动。6.1 数字证书服务6.1.1 服务内容认证机构面向电子政务活动中的政务部门和企事业单位、社会团体、社会公众等电子政务用户提供的证书申请、证书签发、证书更新和证书撤销等证书全生命周期管理服务。6.1.2 数字证书类型认证机构可提供以下类型的数字证书：1. 机构证书用以代表政务机关和参与电子政务业务的

15、企事业单位、社会团体或其他组织的身份，如：代表单位和部门等机构身份证书。2. 个人证书为各级政务部门的工作人员和参与电子政务业务的社会公众颁发的证书，用以代表个体的身份，如：某局局长、某局职员或参加纳税申报的个人的身份证书等。3. 设备证书为电子政务系统中的服务器或设备颁发的数字证书，用以代表服务器或设备的身份，如：服务器身份证书、IPSec VPN 设备证书等。4. 其他类型证书为满足电子政务相关应用的特殊需求而提供的其他应用类型的证书，如：代码签名证书等。以上各类数字证书格式应遵循 GM/T 0015，在标识实体名称时，应保证实体身份的唯一性，且名称类型应支持 X.500、RFC-822、

16、X.400 等标准协议格式。6.1.3 身份标识与鉴别1. 命 名数字证书命名应遵循 GM/T 0015 的要求，不得使用匿名或假名。2. 证书申请人的身份确认A. 证明持有私钥的方法认证机构应在其 CPS 中声明其证明申请者拥有私钥的方法。可通过如下方式进行验证：1） 签名密钥应属于证书申请者专有；2） 证书申请者应使用其私钥对证书请求信息进行数字签名；3） CA 应使用证书申请者公钥验证该签名；4） 证书私钥的保管应符合 GM/T 0034 和 GM/T 0028 等相关标准规范。5B. 组织机构身份的鉴别在把证书签发给一个组织机构或组织机构拥有的设备时，认证机构应对证书持有者所在的组织机

17、构进行身份鉴别。对组织机构身份鉴别方式，至少包括如下内容：1） 确认组织机构是确实存在的、合法的实体；2） 确认该组织机构知晓并授权证书申请，代表组织机构提交证书申请的人是经过授权的；3） 确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。C. 个人身份的鉴别在把证书签发给个人时，认证机构应对证书持有者进行身份鉴别。对个人身份鉴别方式，至少包括如下内容：1） 确认个人的身份是确实存在的、合法的实体；2） 确认证书持有者知晓并授权证书申请，代表他人提交证书申请的人是经过授权的；3） 确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。D. 在把证书签发给政府部门中的个人时，认证机构还应确认以下内容

18、：1） 通过可靠的方式确保证书持有者所在的组织、部门与证书中所列的组织、部门一致，证书中通用名就是证书持有者的真实姓名；2） 确认证书持有者属于该组织机构，证书持有者确实被招录或聘用。3. 密钥更新请求的识别与鉴别A. 常规的密钥更新请求的识别与鉴别对于一般正常情况下的密钥更新申请，证书持有者应提交能够识别原证书的足够信息，并使用更新前的私钥对包含新公钥的申请信息签名。对申请的鉴别应满足以下条件：1） 申请对应的原证书存在并且由认证机构签发；2） 用原证书（有效期内的证书）上的证书持有者公钥对申请的签名进行验证；3） 基于原注册信息进行身份鉴别。B. 撤销之后的密钥更新请求的识别与鉴别证书撤销

19、后不能进行密钥更新。4. 撤销请求的身份标识与鉴别证书撤销请求可以来自证书持有者，也可以来自认证机构、注册机构。证书持有者通过认证机构、注册机构申请撤销证书时，认证机构、注册机构应对证书持有者进行身份鉴别。申请撤销证书应包括以下流程：A. 认证机构应在CPS中明确公布用户提交证书撤销请求的方式和要求；B. 认证机构、注册机构应按照本机构发布的电子政务电子认证服务业务规则规定的方式与证书持有者联系，并对申请人进行身份鉴别，确认要撤销证书的人或组织确实是证书持有者本人或被授权人。6.1.4 数字证书服务操作要求6.1.4.1 证书申请1. 信息告知认证机构应在本机构发布的电子政务电子认证服务业务规

20、则中陈述受理证书申请的所有流程及要求，并告知证书申请者及证书持有者所必须提交的材料和流程。2. 申请的提交A. 证书申请应由证书持有者或相应的授权人提交；B. 非证书持有者代表组织机构进行批量证书申请的还应获得该组织的授权；C. 认证机构应提供多种证书申请受理的方式。3. 注册过程及责任认证机构在处理每一个证书申请中，应满足以下条件：A. 保留对最终实体身份的证明和确认信息；6B. 保证证书申请者和持有者信息不被篡改、私密信息不被泄漏；C. 注册过程应保证所有证书申请者明确同意相关的证书申请协议；D. 确保证书申请信息安全传输。6.1.4.2 证书申请处理1. 执行识别与鉴别功能当认证机构、注

21、册机构接收到证书申请者的证书申请后，应按照 6.1.3 的要求对证书申请者的身份进行鉴别。2. 证书申请批准和拒绝认证机构、注册机构应在鉴别的基础上，批准或拒绝申请。如果拒绝申请，应通过适当的方式、在 2 个工作日内通知证书申请者；如果批准申请，应为证书申请者办理证书签发服务。3. 处理证书申请的时间认证机构处理证书请求的最长响应时间应不超过 2 个工作日。4. 对拒绝证书申请原因的说明认证机构、注册机构拒绝证书申请，应明确通知证书申请者原因，如：无法完成鉴别和验证身份信息；用户没有提交所规定的文件；用户没有在规定时间内回复通知；未收到证书费用等等。6.1.4.3 证书签发1. 证书签发中RA

22、和CA的行为证书签发请求中，RA 和 CA 应相互进行身份认证并确保申请信息传输的机密性。CA 应验证 RA 的签发请求，无误后方可签发证书。2. CA和RA通知证书申请者证书的签发认证机构的证书签发系统签发证书后，应将证书签发的信息通过适当的方式通知证书申请者或RA。如果证书申请获得批准并签发，RA 应通过适当的方式告诉证书申请者如何获取证书。6.1.4.4 证书接受1. 构成接受证书的行为认证机构应提供安全可靠的接受证书的方式，满足约定方式的条件，应当视为证书申请者接受证书。2. CA对证书的发布对于证书申请者明确表示拒绝发布证书信息的，认证机构应不发布该证书申请者证书信息。没有明确表示拒

23、绝的，认证机构可将证书信息发布到目录系统。3. CA通知其他实体证书的签发认证机构应在 CPS 中声明是否需要向其他实体通知。6.1.4.5 密钥对和证书使用1. 证书持有者私钥和证书使用认证机构应明确证书持有者私钥和证书的用途，证书持有者应按约定的方式使用其私钥和证书。未按规定用途使用造成的损失由证书持有者自行承担责任。2. 依赖方对公钥和证书使用依赖方应按约定的方式对签名信息进行验证。未按规定用途使用造成损失的，由依赖方自行承担责任。依赖方应使用接收方的公钥进行信息加密，公钥证书应同加密信息一同发送给接收方。6.1.4.6 证书与密钥更新1. 证书更新的情形证书更新通常是指密钥不变，证书有效期延长。证书更新业务规则参照密钥更新执行。2. 密钥更新的情形密钥更新通常指密钥和证书同时更新，建议认证机构采用密钥和证书同时更新。被撤销或已过期