PDF《国家电子政务外网》

国家电子政务外网 电子认证服务业务规则规范 (V7) 国家电子政务外网管理中心 二一七年六月 目录1概括性描述.

1 1.1 概述.1 1.2 文档名称与标识

2 1.3 电子认证活动参与者.2 1.3.1 政务 CA.2 1.3.2 注册机构

2 1.3.3 证书持有者.3 1.3.4 依赖(证书)方31.3.5 其他参与者.3 1.4 证书应用

3 1.4.1 证书类型及应用范围.3 1.4.2 证书禁止使用的情形.3 1.5 策略管理

3 1.5.1 策略文档管理机构

3 1.5.2 联系方式

3 1.5.3 决定电子认证业务说明符合策略的机构.4 1.5.4 《规范》批准程序

4 1.6 定义和缩写.4 1.6.1 定义.4 1.6.2 缩略语

4 2 信息发布与信息管理.5 2.1 认证信息的发布

5 2.2 发布的时间或频率

5 2.3 信息库访问控制

5 3 身份标识与鉴别

5 3.1 命名.5 3.1.1 名称类型

5 3.1.2 对名称有意义的要求.5 3.1.3 证书持有者的匿名或伪名

5 3.1.4 理解不同名称形式的规则

5 3.1.5 名称的唯一性.5 3.1.6 商标的识别、鉴别和角色

6 3.2 初始身份确认.6 3.2.1 证明拥有私钥的方法.6 3.2.2 组织机构身份鉴别

6 3.2.3 个人身份鉴别.6 3.2.4 没有验证的证书持有者信息

6 3.2.5 授权确认

7 3.3 密钥更新请求的标识与鉴别

7 3.3.1 常规密钥更新的标识与鉴别

7 3.3.2 撤销后密钥更新的标识与鉴别.7 3.4 撤销请求的标识与鉴别.7

4 证书生命周期操作要求.8 4.1 证书申请

8 4.1.1 证书申请实体.8 4.1.2 注册过程与责任

8 4.2 证书申请处理.8 4.2.1 执行识别与鉴别功能.8 4.2.2 证书申请批准和拒绝.8 4.2.3 处理证书申请的时间.9 4.3 证书签发

9 4.3.1 证书签发过程中政务 CA 和RA 注册机构的行为

9 4.3.2 政务 CA 和注册机构对证书申请者的通告

9 4.4 证书接受

9 4.4.1 构成接受证书的行为.9 4.4.2 政务 CA 对证书的发布

10 4.4.3 政务 CA 对其他实体的通告.10 4.5 证书使用处理.10 4.5.1 执行识别与鉴别功能.10 4.5.2 依赖方公钥和证书的使用

10 4.6 证书更新

10 4.6.1 证书更新的情形

10 4.6.2 请求证书更新的实体.11 4.6.3 证书更新请求的处理.11 4.6.4 签发新证书时对证书持用者的通告

11 4.6.5 构成接受更新证书的行为

11 4.6.6 政务 CA 对更新证书的发布.11 4.6.7 政务 CA 对其他实体的通告.11 4.7 证书密钥更新.11 4.7.1 证书密钥更新的情形.11 4.7.2 请求证书密钥更新的实体

12 4.7.3 证书密钥更新请求的处理

12 4.7.4 签发新证书时对证书持有者的通告

12 4.7.5 构成接受密钥更新证书的行为.12 4.7.6 政务 CA 对密钥更新证书的发布

12 4.7.7 政务 CA 对其他实体的告知.12 4.8 证书变更

12 4.8.1 证书变更的情形

12 4.8.2 请求证书变更的实体.12 4.8.3 证书变更请求的处理.12 4.8.4 签发新证书时对证书持有者的通告

13 4.8.5 构成接受变更证书的行为

13 4.8.6 政务 CA 对变更证书的发布.13 4.8.7 政务 CA 对其他实体的通告.13 4.9 证书撤销

13 4.9.1 证书撤销的情形

13 4.9.2 请求证书撤销的实体.13 4.9.3 撤销请求的流程

13 4.9.4 撤销请求宽限期

14 4.9.5 政务 CA 处理撤销请求的时限.14 4.9.6 依赖方检查证书撤销的要求

14 4.9.7 CRL 发布频率

14 4.9.8 CRL 发布的最长滞后时间

14 4.9.9 在线状态查询的可用性.14 4.9.10 在线状态查询要求

14 4.9.11 撤销信息的其他发布形式

14 4.9.12 密钥损害的特别处理要求

15 4.10 证书冻结

15 4.10.1 证书冻结的情形

15 4.10.2 请求证书冻结的实体.15 4.10.3 证书冻结与解冻流程.15 4.10.4 冻结的期限限制

15 4.11 证书状态服务.16 4.11.1 操作特征

16 4.11.2 服务可用性.16 4.11.3 可选特征

16 4.12 证书持有终止.16 4.13 口令解锁

16 4.14 密钥生成、备份与恢复.16 4.14.1 密钥生成、备份与恢复的策略和行为

16 4.14.2 会话密钥的封装与恢复的策略与行为

16 5 认证机构设施、管理和操作控制.17 5.1 物理控制

17 5.1.1 场地位置与建筑

17 5.1.2 物理访问

17 5.1.3 电力与空调.17 5.1.4 水患防治

17 5.1.5 火灾防护

17 5.1.6 介质存储

17 5.1.7 废物处理

17 5.1.8 异地备份

17 5.1.9 注册机构物理控制

17 5.2 程序控制

18 5.2.1 可信角色

18 5.2.2 每项任务需要的人数.18 5.2.3 每个角色的识别与鉴别.18 5.2.4 要求职责分割的角色.18 5.2.5 资格、经历和无过失要求

18 5.2.6 背景审查程序.18 5.2.7 培训要求

19 5.2.8 工作岗位轮换周期和顺序

19 5.2.9 未授权行为的处罚

19 5.2.10 提供给员工的文档

19 5.2.11 人员异动管理.19 5.3 审计日志程序.19 5.3.1 记录事件的类型

19 5.3.2 处理日志的周期

20 5.3.3 审计日志的保存期限.20 5.3.4 审计日志的保护

20 5.3.5 审计日志备份程序

20 5.3.6 审计收集系统.20 5.3.7 对导致事件实体的告知.20 5.3.8 脆弱性评估.20 5.4 记录归档

20 5.4.1 归档记录的类型

20 5.4.2 归档记录的保存期限.21 5.4.3 归档文件的保护

21 5.4.4 归档文件的备份程序.21 5.4.5 记录的时间戳要求

21 5.4.6 获得和检验归档信息.21 5.5 事故与灾难恢复

21 5.5.1 事故和损害处理流程.21 5.5.2 计算资源、软件、数据的损坏.21 5.5.3 实体私钥损害处理程序.21 5.5.4 灾难后的业务连续性能力

22 5.6 政务 CA 或注册机构的终止.22

6 认证系统技术安全控制.22 6.1 密钥对的生成和安装.22 6.1.1 密钥对的生成.22 6.1.2 私钥传送给证书持有者.22 6.1.3 公钥传送给证书签发机构

22 6.1.4 政务 CA 公钥传送给依赖方.22 6.1.5 密钥的长度.22 6.1.6 公钥参数的生成和质量保证

22 6.1.7 密钥的使用.22 6.2 私钥保护和密码模块工程控制.23 6.2.1 密码模块标准和控制.23 6.2.2 私钥多人控制(m 选n)23 6.2.3 私钥托管

23 6.2.4 私钥备份

23 6.2.5 私钥归档

23 6.2.6 私钥导入、导出密码模块

23 6.2.7 私钥在密码模块的存储.24 6.2.8 激活私钥的方法

24 6.2.9 冻结私钥的方法

24 6.2.10 销毁私钥的方法

24 6.2.11 密码模块应达到的标准.24 6.3 政务 CA 密钥的保管.24 6.3.1 公钥归档

24 6.3.2 证书和密钥对使用期限.24 6.4 系统升级与相关安全性控制

24 6.4.1 系统升级控制.24 6.4.2 安全管理控制.25 6.5 安全控制

25 6.6 生命周期技术控制

25 6.6.1 系统开发控制.25 6.6.2 安全管理控制.25 6.6.3 生命周期的安全控制.25 6.7 网络的安全控制

25 6.8 时间戳

26 6.9 应用集成支持服务

26 6.9.1 证书应用接口程序

26 6.9.2 证书应用方案支持

26 6.9.3 证书应用接口集成

26 7 证书、证书撤销列表和在线证书状态协议.26 7.1 证书.26 7.1.1 证书格式标准.26 7.1.2 证书标准项.26 7.1.3 证书扩展项.26 7.1.4 算法对象标识符

27 7.1.5 名称形式

27 7.1.6 证书策略对象标识符.27 7.1.7 策略限制扩展项的用法.27 7.1.8 策略限定符的语法和语义

27 7.1.9 关键证书策略扩展项的处理规则.27 7.2 证书撤销列表.27 7.2.1 版本号

27 7.2.2 CRL 和CRL 条目扩展项

27 7.3 在线证书状态协议

28 7.3.1 版本号

28 7.3.2 OCSP 扩展项

28 8 认证机构审计和其他评估

28 8.1 评估的频率或情形

28 8.2 评估者的资质.28 8.3 评估者与被评估者的关系

28 8.4 评估内容

29 8.5 对问题与不足采取的措施

29 8.6 评估结果的传达与发布.29

9 法律责任和其他业务条款

29 9.1 费用.29 9.2 财务责任

29 9.3 业务信息保密.29 9.3.1 保密信息范围.29 9.3.2 不属于保密的信息

30 9.3.3 保护机密信息的责任.30 9.4 个人信息私密性

30 9.4.1 隐私保密方案.30 9.4.2 作为隐私处理的信息.30 9.4.3 不视为隐私的信息

30 9.4.4 保护隐私的责任

30 9.4.5 使用隐私的告知与同意.30 9.4.6 依法律或行政程序的信息披露.30 9.4.7 其他信息披露情形

31 9.5 知识产权

31 9.6 权利和责任.31 9.6.1 政务 CA 的权利和责任

31 9.6.2 注册机构的权利和责任.32 9.6.3 证书持有者的权利和责任

33 9.6.4 证书依赖方的权利和责任

33 9.6.5 其他参与者的权利和责任

34 9.7 有限责任与免责条款.34 9.7.1 特定责任的排除

34 9.7.2 免责条款

34 9.8 赔偿.35 9.8.1 理赔.35 9.8.2 索赔.35 9.9 CPS 的有效期与终止.35 9.10 CPS 的修订.35 9.11 争议解决

36 9.12 管辖法律

36 9.13 与适用法律的符合性.36 9.14 一般条款

36 9.14.1 完整协议

36 9.14.2 分割性

36 9.14.3 强制执行

36 9.14.4 不可抗力

36 9.15 各种规范的冲突

36 9.16 补充说明

36 1

1 概括性描述 1.1 概述 国家电子政务外网电子认证服务业务规则规范(以下简称《规范》,CPS),由国家电子政务 外网管理中心电子认证办公室参照《中华人民共和国电子签名法》,按照国家密码管理局《电 子政务电子认证服务管理办法》和《电子政务电子认证服务业务规则规范》制订,并报国家密 码管理局备案. 2010年, 国家发展改革委人事司批准成立 国家电子政务外网管理中心电子认证办公室 (以下简称 认证办 ),主要职责是负责国家电子政务外网电子认证服务业务的相关管理和 服务工作.国家电子政务外网数字证书中心(以下简称 政务CA ,缩写为ZWCA)是国家电子 政务外网电子认证工作统一对外管理和服务窗口.2011年政务CA 获得国家密码管理局颁发的 电子政务电子认证服务机构 (编号B001)资质.政务CA是专业化电子政务电子认证服务机 构,是国家电子政务外网的信息安全基础设施,设有独立密钥管理中心.政务CA 以密码技术为 核心技术,通过签发数字证书对电子政务信息交换中的身份进行确........