1、 电子政务电子认证服务业务规则规范 Certification Practice Statement Standard for E-Government 国家密码管理局 2018 年 11月 I 目 次 前 言 .II 引 言 . I 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 符号和缩略语 . 3 5 电子政务电子认证服务业务规则管理规范 . 3 5.1 策略文档管理 . 3 5.2 联系方式 . 3 5.3 批准程序 . 4 6 电子政务电子认证服务业务要求 . 4 6.1 数字证书服务 . 4 6.2 应用集成支持服务 . 8 6.3 信息服务 . 8 6.
2、4 使用支持服务 . 9 6.5 安全保障 .10 7 电子政务电子认证服务操作规范 .12 7.1 数字证书服务操作规范 .12 7.2 应用集成支持服务操作规范 .17 7.3 信息服务规范 .17 7.4 使用支持服务操作规范 .19 7.5 安全保障规范 .20 8 电子政务电子认证服务中的法律责任相关要求 .25 8.1 要求 .25 8.2 内容 .25 附录 .28 II 前 言 本规范所称电子政务电子认证服务,是指为各级政务部门开展社会管理、公众服务等政务活动提供的电子认证服务。电子政务内网电子认证服务有关要求不在本标 准内涉及。 本规范是开展电子政务电子认证服务(以下简称 “
3、电子认证服务 ”)的基础性规范之一 ,它描述了电子认证服务机构 采用密码技术,通过数字证书提供电子认证服务的主要内容及要求, 明确了电子认证服务过程中的关键环节和操作规范 ,并就 电子认证 服务的相关法律责任与关系进行了说明。 本规范由国家密码管理局提出并归口。 本规范 主要修订 单位:北京数字认证股份有限公司、 航天信息股份有限公司、 数安时代科技股份有限公司、 北京市密码管理局、天津市国家密码管理局、上海市数字证书认证中心有限公司、国家信息中心、 吉林省安信电子认证服务有限 公司 、重庆程远未来电子商务服务有限公司 。 本规范主要修订 人:李述胜、 郭宝安、 商晋、 薛迎俊、 魏一才、 冯
4、育晖、贾旭 、刘长明、 崔久强、国强 、何立波 、刘磊 。 I 引 言 电子认证服务是保障 电子政务电子签名安全可靠和 信息系统安全运行的重要基础性服务。 依照电子政务电子认证服务管理办法的相关要求,电子政务电子认证服务机构(以下简称 “认证机构 ”) 应取得电子政务电子认证服务机构资质后,方可开展电子认证服务业务。 为了更好地服务于电子政务业务、提升行业服务水平、促进行业健康发展,本规范从服务内容、服务质量、业 务操作规范等主要方面, 对电子认证服务活动提出了明确要求 。通过本规范的实施,将不仅有利于指导认证机构开展电子认证服务工作, 也为国家密码管理 部门 组织开展 电子政务电子认证 能力
5、评估和监督检查工作提供依据。 1 电子政务电子认证服务业务规则规范 1 范围 本规范明确了电子认证服务业务规则管理规范、业务要求、操作规范、服务质量保障及相关法律责任等。 本规范适用于参与电子认证服务业务的相关实体,用于规范认证机构开展电子认证服务体系建设以及相关服务活动,也用于为国家密码管理部门组织开展 电子政务电子认证服务 能力评估和监督检查提供依 据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修订单)适用于本文件。 GM/Z 0001 密码术语 GM/T 0015 基于 S
6、M2 密码算法的数字证书格式规范 GM/T 0016 智能密码钥匙密码应用接口规范 GM/T 0017 智能密码钥匙密码应用接口数据格式规范 GM/T 0018 密码设备应用接口规范 GM/T 0019 通用密码服务接口规范 GM/T 0020 证书应用综合服务接口规范 GM/T 0028 密码模块安全技术要求 GM/T 0034 基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范 GM/T 0054 信息系统密码应用基本要求 3 术语和定义 GM/Z 0001 确立的以及下列术语和定义适用本文件。 3.1 公钥基础设施 public key infrastructure( PKI)
7、 基于公钥密码技术实施的具有普适性的基础设施,可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。 3.2 加密 encipherment/encryption 对数据进行密码变换以 产生密文的过程。 3.3 加密证书 encipherment certificate/exchange certificate 用于证明加密公钥的数字证书。 3.4 密码模块 cryptographic module 实现密码运算功能的、相对独立的软件、硬件、固件或其组合。 3.5 2 密码算法 cryptographic algorithm 描述密码处理过程的运算规则。 3.6 密钥 key 控制密码算法运算
8、的关键信息或参数。 3.7 证书更新 Certificate update 指在不改变密钥的情况下,用一个新证书来代替旧证书的过程。 3.8 密钥更新 key update 用一个新密钥来代替旧密钥的过程,通常指证书与密钥同时更新。 3.9 密钥恢复 key recovery 将归档或备份的密钥恢复到可用状态的过程。 3.10 签名证书 signature certificate 用于证明签名公钥的数字证书。 3.11 身份鉴别 /实体鉴别 authentication/entity authentication 确认一个实体所声称身份的过程。 3.12 数字签名 digital signat
9、ure 签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。 3.13 数字证书 digital certificate 也称公钥证书,由证书认证机构( CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按 类别 可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密证书。 3.14 私钥 private key 非对 称密码算法中只能由拥有者使用的不公开密钥。 3.15 SM2 算法 SM2 algorithm 一种椭圆曲线公钥密码算法,
10、其密钥长度为 256 比特。 3 3.16 证书撤销列表 certificate revocation list ( CRL) 由证书认证机构( CA)签发并发布的被撤销证书的列表。 3.17 证书认证机构 certification authority( CA) 对数字证书进行全生命周期管理的实体。也称为电子认证服务机构。 3.18 证书注册机构 registration authority ( RA) 受理数字证书的申请、更新、恢复和注销等业务的实体。 3.19 证书依赖方 certificate dependent 依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以
11、是也可以不是一个证书持有者。 4 符号和缩略语 下列缩略语适用于本文件: CA 认证机构 (Certification Authority) CPS 证书业务声明( Certification Practice Statement) CRL 证书撤销列表 (Certificate Revocation List) LDAP 轻量级目录访问协议 (Lightweight Directory Access Protocol) OCSP 在线证书状态协议( Online Certificate Status Protocol ) RA 注册机构 (Registration Authority) LR
12、A 证书注册受理点( Local Registration Authority) 5 电子政务电子认证服务业务规则管理规范 5.1 策略文档管理 认证机构应成立本机构的电子政务电子认证服务业务规则的管理机构,对本机构的电子政务电子认 证服务业务规则进行维护与管理,包括: 1. 确定电子政务电子认证服务业务规则的维护职责,并建立合理有效的电子政务电子认证服务业务规则修订和批准流程; 2. 电子政务电子认证服务业务规则管理机构应定期对存在的业务风险进行评估,并及时对电子政务电子认证服务业务规则进行修订。 按照电子政务电子认证服务管理办法规定,应将制定后的电子政务电子认证服务业务规则及时报国家密码管
13、理局进行备案,并在服务范围内公开发布。 5.2 联系方式 认证机构应在电子政务电子认证服务业务规则中明确本机构对外的相关联系内容,包括: 1. 本机构电子政务电子认证服务业务规则的发布地址 2. 机构网站地址 3. 电子邮箱地址 4 4. 联系地址 5. 联系部门 6. 电话号码 7. 传真号码 5.3 批准程序 认证机构应在电子政务电子认证服务业务规则中明确该业务规则的批准程序,包括: 1. 起草小组的成立流程 ; 2. 电子政务电子认证服务业务规则管理机构的审批流程 ; 3. 发布流程 ; 4. 向主管机关的备案流程。 6 电子政务电子认证服务业务要求 电子政务电子认证服务机构应当按照电子
14、政务电子认证服务管理办法所规定的服务内容及要求开展相应的电子认证服务活动。 6.1 数字证书服务 6.1.1 服务内容 认证机构面向电子政务 活动中的政务部门和企事业单位、社会团体、社会公众等电子政务用户提供的证书申请、证书签发、证书更新和证书撤销等证书全生命周期管理服务。 6.1.2 数字证书类型 认证机构可提供以下类型的数字证书: 1. 机构证书 用以代表政务机关和参与电子政务业务的企事业单位 、社会团体或其他组织的身份 ,如:代表单位和部门等机构身份证书。 2. 个人证书 为各级政务部门的工作人员和参与电子政务业务的社会公众颁发的证书,用以代表个体的身份,如:某局局长、某局职员或参加纳税
15、申报的个人 的身份证书 等。 3. 设备证书 为电子政务系统 中的服务器或设备颁发的数字证书, 用以代表服务器或设备的身份 ,如:服务器身份证书、 IPSec VPN 设备证书等。 4. 其他类型证书 为满足电子政务相关应用的特殊需求而提供的其他应用类型的证书,如:代码签名证书等。 以上各类数字证书格式应遵循 GM/T 0015,在标识实体名称时,应保证实体身份的唯一性,且名称类型应支持 X.500、 RFC-822、 X.400 等标准协议格式。 6.1.3 身份标识与鉴别 1. 命 名 数字证书命名应遵循 GM/T 0015 的要求,不得使用匿名或假名。 2. 证书申请人的身份确认 A.
16、证明持有私钥的方法 认证机构应在其 CPS 中声明其证明申请者拥有私 钥的方法。可通过如下方式进行验证: 1) 签名密钥应属于证书申请者专有 ; 2) 证书申请者应使用其私钥对证书请求信息进行数字签名 ; 3) CA 应使用证书申请者公钥验证该签名 ; 4) 证书私钥的保管应符合 GM/T 0034 和 GM/T 0028 等相关 标准规范。 5 B. 组织机构身份的鉴别 在把证书签发给一个组织机构或组织机构拥有的设备时,认证机构 应 对证书持有者所在的组织机构进行身份鉴别。对组织机构身份鉴别方式,至少包括如下内容: 1) 确认组织机构是确实存在的、合法的实体 ; 2) 确认该组织机构知晓并授
17、权证书申请,代表组织机构提交证书申请的人是经过授权的 ; 3) 确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。 C. 个人身份的鉴别 在把证书签发给个人时,认证机构 应 对证书持有者进行身份鉴别。对个人身份鉴别方式,至少包括如下内容: 1) 确认个人的身份是确实存在的、合法的实体 ; 2) 确认证书持有者知晓并授权证书申请,代表他人提交证书申请的人是经过授权的 ; 3) 确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。 D. 在把证书签发给政府部门中的个人时,认证机构还应确认以下内容: 1) 通过可靠的方式确保证书持有者所在的组织、部门与证书中所列的组织、部门一致,证书中通用名就是证书持
18、有者的真实姓名 ; 2) 确认证书持有者属于该组织机构,证书持有者确实被招录或聘用 。 3. 密钥更新请求的识别与鉴别 A. 常规的密钥更新请求的识别与鉴别 对于一般正常情况下的 密钥更新 申请,证书持有者应提交能够识别原证书的足够信息,并使用更新前的私钥对包含新公钥的申请信息签名。对申请的鉴别应满足以下条件: 1) 申请对应的原证书存在并且由认证机构签发 ; 2) 用原证书 (有效期内的证书) 上的证书持有者公钥对申请的签名进行验证 ; 3) 基于原注册信息进行身份鉴别。 B. 撤销之后的密钥更新请求的识别与鉴别 证书撤销后不能进行 密钥更新 。 4. 撤销请求的身份标识与鉴别 证书撤销 请
19、求可以来自证书持有者,也可以来自认证机构、注册机构。 证书持有者通过认证机构、注册机构申请撤销证书时,认证机构、注册机构应对证书持有者进行身份鉴别。申请撤销证书应包括以下流程: A. 认证机构应在 CPS中明确公布用户提交证书撤销请求的方式和要求 ; B. 认证机构、注册机构 应 按照本机构发布的电子政务电子认证服务业务规则规定的方式与证书持有者联系,并对申请人进行身份鉴别,确认要撤销证书的人或组织确实是证书持有者本人或被授权人。 6.1.4 数字证书服务操作要求 6.1.4.1 证书申请 1. 信息告知 认证机构应在本机构发布的电子政 务电子认证服务业务规则中陈述受理证书申请的所有流程及要求
20、,并告知证书申请者及证书持有者所必须提交的材料和流程。 2. 申请的提交 A. 证书申请应由证书持有者或相应的授权人提交 ; B. 非证书持有者代表组织机构进行批量证书申请的还 应 获得该组织的授权 ; C. 认证机构应提供多种 证书申请受理 的方式 。 3. 注册过程及责任 认证机构在处理每一个证书申请中, 应 满足以下条件: A. 保留对最终实体身份的证明和确认信息 ; 6 B. 保证证书申请者和持有者信息不被篡改、私密信息不被泄漏 ; C. 注册过程 应 保证所有证书申请者明确同意相关的证书申请协议 ; D. 确保 证书申请信息安 全传输。 6.1.4.2 证书申请处理 1. 执行识别与
21、鉴别功能 当认证机构、注册机构接收到证书申请者的证书申请后,应按照 6.1.3 的要求对证书申请者的身份进行鉴别。 2. 证书申请批准和拒绝 认证机构、注册机构应在鉴别的基础上,批准或拒绝申请。如果拒绝申请,应通过适当的方式、在2 个工作日 内通知证书申请者;如果批准申请,应为证书申请者办理证书签发服务。 3. 处理证书申请的时间 认证机构处理证书请求的最长响应时间应不超过 2 个工作日 。 4. 对拒绝证书申请原因的说明 认证机构、注册机构拒绝证书申请,应明确通知证书申请者原因,如:无法 完成鉴别和验证身份信息;用户没有提交所规定的文件;用户没有在规定时间内回复通知;未收到证书费用等 等 。
22、 6.1.4.3 证书签发 1. 证书签发中 RA和 CA的行为 证书签发请求中, RA 和 CA 应相互进行身份认证并确保申请信息传输的机密性。 CA 应验证 RA 的签发请求,无误后方可签发证书。 2. CA和 RA通知证书申请者证书的签发 认证机构的证书签发系统签发证书后,应将证书签发的信息通过适当的方式通知证书申请者或 RA。 如果证书申请获得批准并签发, RA 应通过适当的方式告诉证书申请者如何获取证书。 6.1.4.4 证书接受 1. 构成 接受证书的行为 认证机构应提供安全可靠的 接受证书的方式,满足约定方式的条件,应当视为证书申请者接受证书。 2. CA对证书的发布 对于证书申
23、请者明确表示拒绝发布证书信息的,认证机构应不发布该证书申请者证书信息。没有明确表示拒绝的,认证机构可将证书信息发布到目录系统。 3. CA通知其他实体证书的签发 认证机构应在 CPS 中声明是否需要向其他实体通知。 6.1.4.5 密钥对和证书使用 1. 证书持有者私钥和证书使用 认证机构应明确证书持有者私钥和证书的用途,证书持有者应按约定的方式使用其私钥和证书。未按规定用途使用造成 的损失由证书持有者自行承担责任。 2. 依赖方对公钥和证书使用 依赖方应按约定的方式对签名信息进行验证。未按规定用途使用造成损失的 , 由依赖方自行承担责任。 依赖方应使用接收方的公钥进行信息加密, 公钥 证书应同加密信息一同发送给接收方。 6.1.4.6 证书与密钥更新 1. 证书更新的情形 证书更新通常是指密钥不变,证书有效期延长。证书更新业务规则参照密钥更新执行。 2. 密钥更新的情形 密钥更新通常指密钥和证书同时更新,建议认证机构采用密钥和证书同时更新。 被撤销 或已过期 的证书不能进行密钥更新 和证书更新 。 3. 密钥 更新申请的提交