电子认证业务规则规范

合集下载

电子认证业务规则

电子认证业务规则

电子认证业务规则电子认证业务规则是指对于电子认证的服务商或机构,从业务和技术角度出发,制定的一系列规则、标准和流程等,目的是规范电子认证市场,并保障电子认证业务的安全、可靠、有效性和隐私保护等。

1、电子认证的定义电子认证是指利用电子手段,对身份、资格、权利、协议、交易、文件或其它事项进行确认、保障或证明。

这种认证方式可以替代传统的纸质认证方式,具有便捷、高效、安全等优势。

2、电子认证业务的范围和类型电子认证业务的范围很广泛,包括个人身份认证、企业资格认证、数字签名认证、数字证书认证等。

不同的电子认证类型有不同的应用场景和需求,需要不同的服务提供商或机构来提供。

3、电子认证服务提供商或机构的要求电子认证服务提供商或机构在提供电子认证服务时,需要具备一定的技术实力、行业知识、服务能力、安全保障和隐私保护等方面的能力和条件。

同时,还需要有良好的口碑和信誉度,以保证用户的信任和选择。

具体要求包括:(1)技术实力:需要具备先进的技术设备、软件和系统平台,能够满足不同类型的电子认证需求。

(2)行业知识:需要了解电子认证相关法律法规、标准和技术要求,能够提供符合要求的认证服务。

(3)服务能力:需要具备高效的服务流程和质量保障机制,能够满足用户的实际需求。

(4)安全保障:需要采取完善的安全措施,保障电子认证服务的安全性和可靠性,以避免用户信息泄露或被篡改。

(5)隐私保护:需要遵循相关法律规定,保护用户的个人隐私信息,防止个人信息被侵犯或滥用。

4、电子认证业务流程和要求为了规范电子认证市场,并保障电子认证业务的安全、可靠、有效性和隐私保护等,电子认证业务需要制定相应的业务流程和要求。

具体内容包括:(1)申请和审核:用户向电子认证提供商或机构提交电子认证申请,需要提供所需材料和证明。

电子认证提供商或机构需要对申请进行审核,并确认用户真实身份和需求。

(2)身份认证和验证:申请通过后,电子认证提供商或机构进行身份认证和验证,并颁发认证证书或数字签名等。

1卫生系统电子认证服务规范(试行)

1卫生系统电子认证服务规范(试行)

卫生系统电子认证服务规范(试行)卫生部办公厅卫生部统计信息中心二○○九年六月目录第1章概述 (1)1.1范围 (1)1.2规范性引文 (1)1.3术语和缩略语 (1)1.3.1术语和定义 (1)1.3.2符号和缩略语 (3)第2章服务总体要求 (4)2.1服务参与方 (4)2.2服务对象及证书分类 (4)2.3服务开展模式 (5)第3章电子认证服务交付要求 (7)3.1电子认证服务交付概述 (7)3.2证书产品的交付形态 (7)3.3身份鉴别 (8)3.3.1身份鉴别模式 (8)3.3.2身份鉴别流程 (8)3.3.3身份鉴别要求 (9)3.4证书申请和签发 (10)3.4.1面向内部用户 (10)3.4.2面向社会公众 (11)3.5证书更新 (11)3.5.1面向内部用户 (11)3.5.2面向社会公众 (12)3.6证书吊销 (12)3.6.1面向内部用户 (12)3.6.2面向社会公众 (13)3.7证书密码解锁 (13)3.7.1面向内部用户 (13)3.7.2面向社会公众 (14)3.8密钥恢复 (14)3.9证书信息发布 (14)3.10证书状态查询 (14)第4章电子认证服务支持要求 (16)4.1电子认证服务支持概述 (16)4.2呼叫中心热线支持 (16)4.3证书服务网站 (16)4.4现场技术支持 (17)4.5应用实施咨询 (17)4.6培训 (17)第5章服务的管理和控制 (18)5.1服务安全性要求 (18)5.2服务可靠性要求 (18)5.3服务时效性要求 (18)5.4服务费用 (19)5.5审计 (19)第1章概述1.1范围本规范描述了电子认证服务的总体要求,定义了参与卫生系统电子认证服务体系建设的相关方和开展电子认证服务的工作机制,规范了电子认证服务机构需要遵循的服务交付要求和服务支持要求,提出了服务的管理和控制要求。

本规范适用于指导参与卫生系统电子认证服务相关方开发电子认证服务,有利于形成标准统一、安全可信、应用方便的卫生系统电子认证服务体系。

国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知-国密局字〔2018〕572号

国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知-国密局字〔2018〕572号

国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
正文:
----------------------------------------------------------------------------------------------------------------------------------------------------
国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
国密局字〔2018〕572号
各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,深圳市密码管理局:现将修订后的《电子政务电子认证服务业务规则规范》印发你们,自2019年3月1日起施行。

2010年9月9日印发的《电子政务电子认证服务业务规则规范》(国密局字〔2010〕488号)同时废止。

附件:电子政务电子认证服务业务规则规范
国家密码管理局
2018年12月18日
——结束——。

电子认证业务规则规范(试行)

电子认证业务规则规范(试行)

电子认证业务规则规范(试行)信息产业部电子认证服务管理办公室2005年4月说明为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。

电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。

信息产业部电子认证服务管理办公室2005年4月电子认证业务规则规范(试行)一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。

电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。

(一)概括性描述(二)信息发布与信息管理(三)身份标识与鉴别(四)证书生命周期操作要求(五)认证机构设施、管理和操作控制(六)认证系统技术安全控制(七)证书、证书吊销列表和在线证书状态协议(八)认证机构审计和其他评估(九)法律责任和其他业务条款二、主要组成部分的内容说明(一)概括性描述对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。

1、概述对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。

例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。

2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。

3、电子认证活动参与者* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。

* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。

* 订户,从电子认证服务机构接收证书的实体。

国家电子政务外网电子认证业务规则.doc

国家电子政务外网电子认证业务规则.doc

国家电子政务外网电子认证业务规则(征求意见稿)发布时间:年月日国家电子政务外网管理中心目录1 概括性描述101.1 概述101.2 文档名称与标识111.3 电子认证活动参与者111.3.1 政务CA 111.3.2 注册机构(RA) 121.3.3 证书持有者121.3.4 依赖(证书)方 121.3.5 证书使用者131.3.6 其它参与者131.4 证书应用错误!未指定书签。

1.4.1 证书类型及应用范围错误!未指定书签。

1.4.2 证书禁止使用的情形错误!未指定书签。

1.5 策略管理141.5.1 策略文档管理机构141.5.2 联系人141.5.3 决定电子认证业务说明符合策略的机构141.5.4 电子认证业务说明批准程序141.6 定义和缩写错误!未指定书签。

1.6.1 定义错误!未指定书签。

1.6.2 缩略语错误!未指定书签。

2 信息发布与信息管理152.1 认证信息的发布152.2 发布的时间或频率162.3 信息库访问控制163 身份识别与鉴别163.1 命名163.1.2 对名称有意义的要求 (17)3.1.3 证书持有者的匿名或伪名173.1.4理解不同名称形式的规则 (17)3.1.5名称的唯一性 (17)3.1.6商标的识别、鉴别和角色 173.2 初始身份确认173.2.1 证明拥有私钥的方法173.2.2 组织机构身份的鉴别183.2.3 个人身份鉴别183.2.4 没有验证的证书持有者信息 183.2.5 授权确认183.3 密钥更新请求的标识与鉴别193.3.1 常规密钥更新的标识与鉴别193.3.2 吊销后密钥更新的标识与鉴别203.4 吊销请求的标识与鉴别201)在证书持有者自己吊销时,可接受的鉴别过程如下:204 证书生命周期操作要求204.1 证书申请204.1.1 证书申请实体204.1.2 注册过程与责任 214.2 证书申请处理214.2.1 执行识别与鉴别功能 214.2.2 证书申请批准和拒绝 214.2.3 处理证书申请的时间 224.3 证书签发224.3.1 证书签发过程中政务CA和RA注册机构的行为224.3.2政务CA和RA注册机构对证书持有者的通告 (22)4.4 证书接受234.4.1 构成接受证书的行为 234.4.2 政务CA对证书的发布错误!未指定书签。

电子认证业务规则规范

电子认证业务规则规范

电子认证业务规则规范导言:随着互联网的快速发展,电子商务交易的兴起,个人信息的保护和交易安全问题愈发凸显。

为了确保电子交易的真实性、完整性和可靠性,电子认证技术应运而生。

本文旨在探讨电子认证业务规则规范的重要性及其应遵循的原则与措施。

一、电子认证的定义与背景电子认证是指通过密码学技术和数字证书,对电子文件、数据或行为进行验证和确认的过程。

其目的是为了确保电子交易的安全性和合法性,同时打击电子欺诈和伪造行为。

电子认证技术通常包括数字证书、数字签名、时间戳等,这些技术可以确保电子文档的真实性、完整性和不可否认性。

二、电子认证业务规则的重要性1. 保护个人隐私和信息安全电子认证业务规则的制定可以确保用户的个人隐私和敏感信息不被滥用和泄露。

通过严格的身份验证、合规审核和数据加密等措施,可以有效防止个人信息被盗用、冒用或篡改。

2. 提升电子交易的可信度与合法性电子认证业务规则的执行可以强化电子交易的可信度与合法性,减少虚假交易、欺诈行为和合同纠纷的发生。

通过对参与方身份的认证、交易行为的可追溯性以及文件的签名和时间戳等措施,可以确保交易的真实、有效,并为法律追责提供有效证据。

3. 促进经济发展和数字化转型电子认证业务规则的规范可以促进电子商务的发展和数字化转型。

通过确保电子交易的可靠性和安全性,有助于增加企业和个人的信任度,提升市场活力,促进互联网经济的繁荣。

三、电子认证业务规则的原则与措施1. 身份验证原则在进行电子认证时,必须验证参与方的身份信息,确保其真实性和合法性。

可以采用实名认证、机构验证、人脸识别等方式进行身份验证,对于用户提供的信息进行严格审核和核实。

2. 数据保护原则电子认证过程中产生的个人数据应受到严格的保护,不得被滥用、篡改或泄露。

相关机构和业务提供者应制定有效的数据保护措施,如数据加密、安全传输、访问权限控制等,确保用户数据的安全性与隐私权。

3. 可追溯与可证明原则电子认证系统应具备可追溯和可证明的特性,即可追踪到交易双方的身份和行为,并能提供可信的证据。

电子认证业务规则规范

电子认证业务规则规范

电子认证业务规则规范电子认证是指通过技术手段,对身份、行为、数据等进行验证和保护的过程。

随着互联网的迅速发展,电子认证已成为现代社会信息交流与交易的重要工具。

为了促进电子认证的有效运行,维护信息安全和用户权益,电子认证业务规则规范应当被制定和遵守。

首先,电子认证业务规则规范应明确电子认证的基本原则和法律依据。

这包括所采用的技术标准、身份验证方式、数据加密与存储要求等。

同时,应明确电子认证的法律依据,包括电子签名法、电子认证法等。

只有遵循相应的技术标准和法律规定,电子认证才能得到广泛的认可和应用。

其次,电子认证业务规则规范应明确电子认证服务提供者的责任和义务。

电子认证服务提供者是指提供电子认证服务的第三方机构,在电子认证过程中扮演了重要角色。

规则规范应明确电子认证服务提供者所需具备的资质、安全准入机制以及业务流程等。

此外,还需要规定电子认证服务提供者的监督管理机制,确保其依法运营、遵守规章制度。

第三,电子认证业务规则规范应规定电子认证的申请与审核过程。

在电子认证中,申请者的身份需要经过审核和验证,以确保其真实性和合法性。

规章规定应明确电子认证申请的途径、申请的材料要求,以及审核的程序与标准。

此外,还应建立有效的申诉机制,对于申请者的异议和投诉进行处理。

第四,电子认证业务规则规范应加强对电子认证安全的管理与保护。

电子认证涉及到用户的个人信息和数据安全,因此需要加强对用户数据的加密保护、存储安全等措施。

此外,还需要建立完善的信息安全管理制度,对电子认证服务提供者进行安全评估和监督。

只有确保电子认证的安全,才能增强用户的信任和认可。

最后,电子认证业务规则规范应强调用户的权益保护。

规章规定应包括用户权益的明确保护措施,例如用户隐私保护、用户申诉处理、权益赔偿等。

此外,还应加强对电子认证的培训和宣传工作,提高用户的认知度和使用能力。

总之,电子认证业务规则规范的制定与实施对于促进电子认证的稳定发展和用户权益的保护至关重要。

电子认证业务规则规范

电子认证业务规则规范

电子认证业务规则规范(试行)信息产业部电子认证服务管理办公室2005年4月说明为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。

电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。

信息产业部电子认证服务管理办公室2005年4月电子认证业务规则规范(试行)一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。

电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。

(一)概括性描述(二)信息发布与信息管理(三)身份标识与鉴别(四)证书生命周期操作要求(五)认证机构设施、管理和操作控制(六)认证系统技术安全控制(七)证书、证书吊销列表和在线证书状态协议(八)认证机构审计和其他评估(九)法律责任和其他业务条款二、主要组成部分的内容说明(一)概括性描述对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。

1、概述对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。

例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。

2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。

3、电子认证活动参与者* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。

* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。

* 订户,从电子认证服务机构接收证书的实体。

卫生系统电子认证服务规范

卫生系统电子认证服务规范

卫生系统电子认证服务体系系列规范- 卫生系统电子认证服务规范(试行)卫生部办公厅2010年4月30日1 范围 (1)2 服务总体要求 (1)2.1 证书分类 (1)2.2 证书产品 (1)2.3 服务模式 (1)2.4 服务内容 (1)2.5 平台接入 (2)3 证书业务服务 (2)3.1 证书申请 (2)3.2 证书发放 (2)3.3 证书更新 (2)3.4 证书吊销 (2)3.5 证书解锁 (2)3.6 密钥恢复 (3)3.7 证书查询 (3)4 技术支持服务 (3)4.1服务方式 (3)4.2服务内容 (3)5 服务的保障 (4)5.1组织保障 (4)5.2制度保障 (4)5.3安全保障 (4)附录(资料性附录) 名词解释 (5)1 范围本规范依据《卫生系统电子认证服务管理办法(试行)》,定义了参与卫生系统电子认证服务体系建设的管理方、使用方和提供方开展电子认证服务的工作机制,描述了卫生系统电子认证服务的总体要求,规范了电子认证服务机构需要遵循的证书业务服务和证书支持服务的要求,提出了服务的保障要求。

本规范适用于卫生系统电子认证服务体系建设的管理方、使用方和提供方。

2 服务总体要求2.1 证书分类根据卫生系统内的用户群体所处单位和担任的职能不同,数字证书用户包括卫生系统内部用户和外部用户。

内部用户是指全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员。

外部用户是指涉及卫生业务的企事业单位和社会公众。

根据用户特点及应用需求,卫生系统数字证书分为内部用户证书和外部用户证书,共六类:(1)内部机构证书是指为各级卫生行政部门和各级各类医疗卫生机构颁发的证书,代表卫生机构的身份。

(2)内部工作人员证书是指为各级卫生行政部门和各级各类医疗卫生机构的工作人员颁发的证书,代表个人的身份。

(3)内部设备证书是指各级卫生信息系统使用的服务器证书或VPN设备证书等。

(4)外部机构证书是指为涉及卫生业务的企事业单位颁发的代表法人身份的证书。

电子认证业务规则规范试行

电子认证业务规则规范试行

电子认证业务规则规范试行近年来,随着数字化时代的到来,电子认证业务逐渐成为了一项重要的服务。

电子认证业务的到来,既极大地促进了信息的安全性和可信度,又为各类机构的交流提供了极大的方便。

但是,由于缺少规范的管理和监管,电子认证业务也面临着种种尴尬和风险。

为了解决这些问题,我国在线认证机构已经出台了电子认证业务规则规范,试行将为全国的电子认证业务提供一定的规则和标准,从而保证电子认证业务的发展和普及。

1、电子认证业务规则规范的定义电子认证业务规则规范是对电子认证业务的普遍规范。

该规范对电子认证业务提供了一些必要的标准和规定,包括身份认证、资料核实、安全保障等内容。

通过制定规范,可以使电子认证业务的业务操作标准化,在实际应用中更好地保障公民及企业信息安全。

2、电子认证业务规则规范的试行流程2019年6月24日,全国互联网金融协会颁布了《电子认证业务规则试行》,规定了在线认证机构在业务发展过程中的各项责任和义务。

该规范于2019年7月1日起开始试行。

试行期结束后将逐步推广到全国。

3、电子认证业务规则规范的主要内容该规范主要针对在线认证机构在身份认证、资料核实、安全保障等方面的具体操作细则进行规范。

其中,具体内容包括:(1)身份认证方案。

身份认证方案包括是否采用双重认证,使用设备认证、手持证件拍照等不同认证方式需要达到的标准。

(2)资料验证方案。

在线认证机构应建立详细的用户资料核查流程,核查流程需要满足的基础标准和流程要求。

(3)安全防护方案。

在线认证机构应建立安全预防和监测系统。

其中,防护系统需要覆盖网络、服务器等不同方面,监测系统则需要关注攻击、攻破等不同情况下的急救和应对措施。

(4)用户权益保护方案。

在线认证机构应确保用户隐私权、合法权益不受侵犯。

如认证机构泄露用户个人信息,或发生认证机构业务失信行为,认证机构应承担相应的法律责任。

4、电子认证业务规则规范的意义电子认证业务规则规范,对于整个电子认证行业有着多方面的意义:(1)保证业务安全。

析电子认证规则

析电子认证规则

析电子认证规则电子认证是以电子认证证书(又称数字证书)为核心技术的加密技术,它以pki技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证。

电子认证是电子政务和电子商务中的核心环节,可以确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。

电子认证所应遵循的规则,就是电子认证业务规则。

电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。

一、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案电子认证服务是专业性很强的活动,由电子认证服务提供者制定有关业务规则是合理的,也是符合实际的。

当然,电子认证服务者不能制定损害电子签名人和电子签名依赖方利益的、不公平的”霸王条款”。

为了防止这种情况出现,有两项要求:一是电子认证服务者制定的电子认证业务规则要符合国家有关规定,而且还要公布;二是电子认证业务规则要向国务院信息产业主管部门备案,以接受监督。

有些国家和地区的电子签名法也规定了电子认证服务提供者制定认证业务规则的义务。

例如,韩国电子签名法规定,认证机构应拟订包括下列各项内容的认证业务通则,并应向信息通信部长官申报:认证业务种类、认证业务的执行方法及步骤、认证服务的利用条件及费用其他必需事项。

信息通信部长官认为认证业务通则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户利益的,可命令认证机构改正。

我国台湾地区电子签章法规定,认证机构应制定认证实务作业基准,认证实务作业基准应载明以下事项:足以影响认证机构所签发认证的可靠性或其业务执行的重要资讯;认证机构径行废止认证的事由;验证认证内容相关资料的留存;保护当事人个人资料的方法及程序;其他经主管机关订定的重要事项。

二、电子认证业务规则主要包括以下事项1. 责任范围电子认证服务提供者在提供认证服务过程中,由于未履行其应尽义务,尤其是保证其签发证书的真实、可靠性的义务,既可能产生对电子签名人的责任,也可能产生对电子签名依赖方的责任。

电子政务电子认证服务业务规则规范

电子政务电子认证服务业务规则规范

电子政务电子认证服务业务规则规范Certification Practice Statement Standard for E-Government国家密码管理局2018年11月目次前言.............................................................................................................................................................. I I 引言 (I)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 符号和缩略语 (3)5 《电子政务电子认证服务业务规则》管理规范 (3)5.1 策略文档管理 (3)5.2 联系方式 (3)5.3 批准程序 (4)6 电子政务电子认证服务业务要求 (4)6.1 数字证书服务 (4)6.2 应用集成支持服务 (8)6.3 信息服务 (8)6.4 使用支持服务 (9)6.5 安全保障 (10)7 电子政务电子认证服务操作规范 (12)7.1 数字证书服务操作规范 (12)7.2 应用集成支持服务操作规范 (17)7.3 信息服务规范 (17)7.4 使用支持服务操作规范 (19)7.5 安全保障规范 (20)8 电子政务电子认证服务中的法律责任相关要求 (25)8.1 要求 (25)8.2 内容 (25)附录 (28)前言本规范所称电子政务电子认证服务,是指为各级政务部门开展社会管理、公众服务等政务活动提供的电子认证服务。

电子政务内网电子认证服务有关要求不在本标准内涉及。

本规范是开展电子政务电子认证服务(以下简称“电子认证服务”)的基础性规范之一,它描述了电子认证服务机构采用密码技术,通过数字证书提供电子认证服务的主要内容及要求,明确了电子认证服务过程中的关键环节和操作规范,并就电子认证服务的相关法律责任与关系进行了说明。

电子政务电子认证服务管理办法

电子政务电子认证服务管理办法

国家密码管理局文件国密局发(2009)7号ﻫ关于印发(电子政务电子认证服务管理办法)的通知各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,中央和国家机关有关部委密码工作领导小组办公室:为了规范电子政务电子认证服务活动,现将(电子政务电子认证服务管理办法(试行)印发你们。

请结合工作实际,认真贯彻执行.本办法自2009年11月1日起施行。

施行前已从事并拟继续从事电子政务电子认证服务的电子认证服务机构,应当在2010年5月1日前,按照本办法的规定向国家密码管理局提出认证服务能力评估申请;未通过认证服务能力评估的,自2010年8月1日起,不得继续从事电子政务电子认证服务。

2009年10月20日电子政务电子认证服务管理办法(试行)第一章总则第一条为了规范电子政务电子认证服务活动,依据(中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法.第二条本办法所称电子政务电子认证服务(以下简称认证服务),是指电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。

电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务。

第三条电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理,适用本办法。

第四条国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。

各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求,负责本地区本部门电子政务电子认证服务活动的监督管理工作。

第二章基础设施第五条电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。

认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。

第六条用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:(一)符合电子政务电子认证体系建设总体规划布局要求;(二)采用国家密码管理局认定的商用密码产品;(三)由具有商用密码产品生产资质的单位承建;(四)符合(证书认证系统密码及其相关安全技术规范)等标准规范要求;(五)采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;ﻫ(六)支持电子政务电子认证源点的管理;ﻫ(七)通过国家密码管理局安全性审查.第七条省、自治区、直辖市密码管理部门确定的本地区电子政务电子认证基础设施,应当报经国家密码管理局批准。

电子认证服务管理办法(最新版)

电子认证服务管理办法(最新版)

电⼦认证服务管理办法(最新版)电⼦认证服务管理办法(最新版) 为了规范电⼦认证服务⾏为,对电⼦认证服务提供者实施监督管理,制定了电⼦认证服务管理办法,下⾯是⼩编给⼤家分享的电⼦认证服务管理办法(最新版),欢迎⼤家阅读。

电⼦认证服务管理办法(最新版) 第⼀章总则 第⼀条为了规范电⼦认证服务⾏为,对电⼦认证服务提供者实施监督管理,根据《中华⼈民共和国电⼦签名法》和其他法律、⾏政法规的规定,制定本办法。

第⼆条本办法所称电⼦认证服务,是指为电⼦签名相关各⽅提供真实性、可靠性验证的活动。

本办法所称电⼦认证服务提供者,是指为需要第三⽅认证的电⼦签名提供认证服务的机构(以下称为“电⼦认证服务机构”)。

向社会公众提供服务的电⼦认证服务机构应当依法设⽴。

第三条在中华⼈民共和国境内设⽴电⼦认证服务机构和为电⼦签名提供电⼦认证服务,适⽤本办法。

第四条中华⼈民共和国⼯业和信息化部(以下简称“⼯业和信息化部”)依法对电⼦认证服务机构和电⼦认证服务实施监督管理。

第⼆章电⼦认证服务机构 第五条电⼦认证服务机构应当具备下列条件: (⼀)具有独⽴的企业法⼈资格。

(⼆)具有与提供电⼦认证服务相适应的⼈员。

从事电⼦认证服务的专业技术⼈员、运营管理⼈员、安全管理⼈员和客户服务⼈员不少于三⼗名,并且应当符合相应岗位技能要求。

(三)注册资本不低于⼈民币三千万元。

(四)具有固定的经营场所和满⾜电⼦认证服务要求的物理环境。

(五)具有符合国家有关安全标准的技术和设备。

(六)具有国家密码管理机构同意使⽤密码的证明⽂件。

(七)法律、⾏政法规规定的其他条件。

第六条申请电⼦认证服务许可的,应当向⼯业和信息化部提交下列材料: (⼀)书⾯申请。

(⼆)⼈员证明。

(三)企业法⼈营业执照副本及复印件。

(四)经营场所证明。

(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。

(六)国家密码管理机构同意使⽤密码的证明⽂件。

电子政务电子认证服务管理办法

电子政务电子认证服务管理办法

电子政务电子认证服务管理办法文章属性•【制定机关】国家密码管理局•【公布日期】2024.09.04•【文号】国家密码管理局令第4号•【施行日期】2024.11.01•【效力等级】部门规章•【时效性】尚未生效•【主题分类】机关工作正文国家密码管理局令第4号《电子政务电子认证服务管理办法》已经2024年8月26日国家密码管理局局务会议审议通过,现予公布,自2024年11月1日起施行。

局长刘东方2024年9月4日电子政务电子认证服务管理办法第一章总则第一条为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,保障电子政务安全可靠,维护有关各方合法权益,根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,制定本办法。

第二条在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。

第三条本办法所称电子政务电子认证服务,是指采用商用密码技术为政务活动提供电子签名认证服务,保证电子签名的真实性和可靠性的活动。

第四条从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。

第五条国家密码管理局对全国电子政务电子认证服务活动实施监督管理。

县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。

第二章资质认定第六条取得电子政务电子认证服务机构资质,应当符合下列条件:(一)具有企业法人或者事业单位法人资格;(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;(三)具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所;(四)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;(五)具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员;(六)具有为政务活动提供长期电子政务电子认证服务的能力,包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定,没有重大违法记录或者不良信用记录等;(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。

国家电子政务外网电子认证服务业务规则规范-V7

国家电子政务外网电子认证服务业务规则规范-V7

国家电子政务外网电子认证服务业务规则规范(V7)国家电子政务外网管理中心二○一七年六月目录1概括性描述 (1)1.1概述 (1)1.2文档名称与标识 (2)1.3电子认证活动参与者 (2)1.3.1政务CA (2)1.3.2注册机构 (2)1.3.3证书持有者 (3)1.3.4依赖(证书)方 (3)1.3.5其他参与者 (3)1.4证书应用 (3)1.4.1证书类型及应用范围 (3)1.4.2证书禁止使用的情形 (3)1.5策略管理 (3)1.5.1策略文档管理机构 (3)1.5.2联系方式 (3)1.5.3决定电子认证业务说明符合策略的机构 (4)1.5.4 《规范》批准程序 (4)1.6定义和缩写 (4)1.6.1定义 (4)1.6.2缩略语 (4)2信息发布与信息管理 (5)2.1认证信息的发布 (5)2.2发布的时间或频率 (5)2.3信息库访问控制 (5)3身份标识与鉴别 (5)3.1命名 (5)3.1.1名称类型 (5)3.1.2对名称有意义的要求 (5)3.1.3证书持有者的匿名或伪名 (5)3.1.4理解不同名称形式的规则 (5)3.1.5名称的唯一性 (5)3.1.6商标的识别、鉴别和角色 (6)3.2初始身份确认 (6)3.2.1证明拥有私钥的方法 (6)3.2.2组织机构身份鉴别 (6)3.2.3个人身份鉴别 (6)3.2.4没有验证的证书持有者信息 (6)3.2.5授权确认 (7)3.3密钥更新请求的标识与鉴别 (7)3.3.1常规密钥更新的标识与鉴别 (7)3.3.2撤销后密钥更新的标识与鉴别 (7)3.4撤销请求的标识与鉴别 (7)4证书生命周期操作要求 (8)4.1证书申请 (8)4.1.1证书申请实体 (8)4.1.2注册过程与责任 (8)4.2证书申请处理 (8)4.2.1执行识别与鉴别功能 (8)4.2.2证书申请批准和拒绝 (8)4.2.3处理证书申请的时间 (9)4.3.1证书签发过程中政务CA和RA注册机构的行为 (9)4.3.2政务CA和注册机构对证书申请者的通告 (9)4.4证书接受 (9)4.4.1构成接受证书的行为 (9)4.4.2政务CA对证书的发布 (10)4.4.3政务CA对其他实体的通告 (10)4.5证书使用处理 (10)4.5.1执行识别与鉴别功能 (10)4.5.2依赖方公钥和证书的使用 (10)4.6证书更新 (10)4.6.1证书更新的情形 (10)4.6.2请求证书更新的实体 (11)4.6.3证书更新请求的处理 (11)4.6.4签发新证书时对证书持用者的通告 (11)4.6.5构成接受更新证书的行为 (11)4.6.6政务CA对更新证书的发布 (11)4.6.7政务CA对其他实体的通告 (11)4.7证书密钥更新 (11)4.7.1证书密钥更新的情形 (11)4.7.2请求证书密钥更新的实体 (12)4.7.3证书密钥更新请求的处理 (12)4.7.4签发新证书时对证书持有者的通告 (12)4.7.5构成接受密钥更新证书的行为 (12)4.7.6政务CA对密钥更新证书的发布 (12)4.7.7政务CA对其他实体的告知 (12)4.8证书变更 (12)4.8.1证书变更的情形 (12)4.8.2请求证书变更的实体 (12)4.8.3证书变更请求的处理 (12)4.8.4签发新证书时对证书持有者的通告 (13)4.8.5构成接受变更证书的行为 (13)4.8.6政务CA对变更证书的发布 (13)4.8.7政务CA对其他实体的通告 (13)4.9证书撤销 (13)4.9.1证书撤销的情形 (13)4.9.2请求证书撤销的实体 (13)4.9.3撤销请求的流程 (13)4.9.4撤销请求宽限期 (14)4.9.5政务CA处理撤销请求的时限 (14)4.9.6依赖方检查证书撤销的要求 (14)4.9.7 CRL 发布频率 (14)4.9.8 CRL 发布的最长滞后时间 (14)4.9.9在线状态查询的可用性 (14)4.9.10在线状态查询要求 (14)4.9.11撤销信息的其他发布形式 (14)4.9.12密钥损害的特别处理要求 (15)4.10证书冻结 (15)4.10.1证书冻结的情形 (15)4.10.2请求证书冻结的实体 (15)4.10.3证书冻结与解冻流程 (15)4.10.4冻结的期限限制 (15)4.11证书状态服务 (16)4.11.1操作特征 (16)4.11.3可选特征 (16)4.12证书持有终止 (16)4.13口令解锁 (16)4.14密钥生成、备份与恢复 (16)4.14.1密钥生成、备份与恢复的策略和行为 (16)4.14.2会话密钥的封装与恢复的策略与行为 (16)5认证机构设施、管理和操作控制 (17)5.1物理控制 (17)5.1.1场地位置与建筑 (17)5.1.2物理访问 (17)5.1.3电力与空调 (17)5.1.4水患防治 (17)5.1.5火灾防护 (17)5.1.6介质存储 (17)5.1.7废物处理 (17)5.1.8异地备份 (17)5.1.9注册机构物理控制 (17)5.2程序控制 (18)5.2.1可信角色 (18)5.2.2每项任务需要的人数 (18)5.2.3每个角色的识别与鉴别 (18)5.2.4要求职责分割的角色 (18)5.2.5资格、经历和无过失要求 (18)5.2.6背景审查程序 (18)5.2.7培训要求 (19)5.2.8工作岗位轮换周期和顺序 (19)5.2.9未授权行为的处罚 (19)5.2.10提供给员工的文档 (19)5.2.11人员异动管理 (19)5.3审计日志程序 (19)5.3.1记录事件的类型 (19)5.3.2处理日志的周期 (20)5.3.3审计日志的保存期限 (20)5.3.4审计日志的保护 (20)5.3.5审计日志备份程序 (20)5.3.6审计收集系统 (20)5.3.7对导致事件实体的告知 (20)5.3.8脆弱性评估 (20)5.4记录归档 (20)5.4.1归档记录的类型 (20)5.4.2归档记录的保存期限 (21)5.4.3归档文件的保护 (21)5.4.4归档文件的备份程序 (21)5.4.5记录的时间戳要求 (21)5.4.6获得和检验归档信息 (21)5.5事故与灾难恢复 (21)5.5.1事故和损害处理流程 (21)5.5.2计算资源、软件、数据的损坏 (21)5.5.3实体私钥损害处理程序 (21)5.5.4灾难后的业务连续性能力 (22)5.6政务CA或注册机构的终止 (22)6认证系统技术安全控制 (22)6.1密钥对的生成和安装 (22)6.1.2私钥传送给证书持有者 (22)6.1.3公钥传送给证书签发机构 (22)6.1.4政务CA公钥传送给依赖方 (22)6.1.5密钥的长度 (22)6.1.6公钥参数的生成和质量保证 (22)6.1.7密钥的使用 (22)6.2私钥保护和密码模块工程控制 (23)6.2.1密码模块标准和控制 (23)6.2.2私钥多人控制(m 选n) (23)6.2.3私钥托管 (23)6.2.4私钥备份 (23)6.2.5私钥归档 (23)6.2.6私钥导入、导出密码模块 (23)6.2.7私钥在密码模块的存储 (24)6.2.8激活私钥的方法 (24)6.2.9冻结私钥的方法 (24)6.2.10销毁私钥的方法 (24)6.2.11密码模块应达到的标准 (24)6.3政务CA密钥的保管 (24)6.3.1公钥归档 (24)6.3.2证书和密钥对使用期限 (24)6.4系统升级与相关安全性控制 (24)6.4.1系统升级控制 (24)6.4.2安全管理控制 (25)6.5安全控制 (25)6.6生命周期技术控制 (25)6.6.1系统开发控制 (25)6.6.2安全管理控制 (25)6.6.3生命周期的安全控制 (25)6.7网络的安全控制 (25)6.8时间戳 (26)6.9应用集成支持服务 (26)6.9.1证书应用接口程序 (26)6.9.2证书应用方案支持 (26)6.9.3证书应用接口集成 (26)7证书、证书撤销列表和在线证书状态协议 (26)7.1证书 (26)7.1.1证书格式标准 (26)7.1.2证书标准项 (26)7.1.3证书扩展项 (26)7.1.4算法对象标识符 (27)7.1.5名称形式 (27)7.1.6证书策略对象标识符 (27)7.1.7策略限制扩展项的用法 (27)7.1.8策略限定符的语法和语义 (27)7.1.9关键证书策略扩展项的处理规则 (27)7.2证书撤销列表 (27)7.2.1版本号 (27)7.2.2 CRL 和CRL 条目扩展项 (27)7.3在线证书状态协议 (28)7.3.1版本号 (28)7.3.2 OCSP 扩展项 (28)8认证机构审计和其他评估 (28)8.2评估者的资质 (28)8.3评估者与被评估者的关系 (28)8.4评估内容 (29)8.5对问题与不足采取的措施 (29)8.6评估结果的传达与发布 (29)9法律责任和其他业务条款 (29)9.1费用 (29)9.2财务责任 (29)9.3业务信息保密 (29)9.3.1保密信息范围 (29)9.3.2不属于保密的信息 (30)9.3.3保护机密信息的责任 (30)9.4个人信息私密性 (30)9.4.1隐私保密方案 (30)9.4.2作为隐私处理的信息 (30)9.4.3不视为隐私的信息 (30)9.4.4保护隐私的责任 (30)9.4.5使用隐私的告知与同意 (30)9.4.6依法律或行政程序的信息披露 (30)9.4.7其他信息披露情形 (31)9.5知识产权 (31)9.6权利和责任 (31)9.6.1政务CA的权利和责任 (31)9.6.2注册机构的权利和责任 (32)9.6.3证书持有者的权利和责任 (33)9.6.4证书依赖方的权利和责任 (33)9.6.5其他参与者的权利和责任 (34)9.7有限责任与免责条款 (34)9.7.1特定责任的排除 (34)9.7.2免责条款 (34)9.8赔偿 (35)9.8.1理赔 (35)9.8.2索赔 (35)9.9CPS的有效期与终止 (35)9.10CPS的修订 (35)9.11争议解决 (36)9.12管辖法律 (36)9.13与适用法律的符合性 (36)9.14一般条款 (36)9.14.1完整协议 (36)9.14.2分割性 (36)9.14.3强制执行 (36)9.14.4不可抗力 (36)9.15各种规范的冲突 (36)9.16补充说明 (36)1概括性描述1.1概述国家电子政务外网电子认证服务业务规则规范(以下简称《规范》,CPS),由国家电子政务外网管理中心电子认证办公室参照《中华人民共和国电子签名法》,按照国家密码管理局《电子政务电子认证服务管理办法》和《电子政务电子认证服务业务规则规范》制订,并报国家密码管理局备案。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子认证业务规则规范电子认证业务规则规范(试行)电子认证业务规则规范说明为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前参考国家标准化部门电子认证系统大多采用基于非对称密钥的PKI技术的现状,正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。

电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。

信息产业部电子认证服务管理办公室 .2005年4月 .电子认证业务规则规范(试行)一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。

电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。

(一)概括性描述(二)信息发布与信息管理(三)身份标识与鉴别(四)证书生命周期操作要求(五)认证机构设施、管理和操作控制(六)认证系统技术安全控制(七)证书、证书吊销列表和在线证书状态协议(八)认证机构审计和其他评估(九)法律责任和其他业务条款二、主要组成部分的内容说明(一) 概括性描述对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。

1、概述对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。

例如,可以设定所提供证书的不同保证等级,也可以用图形的方式1来表达电子认证服务机构的结构。

2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。

3、电子认证活动参与者* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。

* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进发起或传递证书吊销请求,代表电子认证服务机构批准更新行身份标识和鉴别,证书或更新密钥的申请。

* 订户,从电子认证服务机构接收证书的实体。

在电子签名应用中,订户即为电子签名人。

* 依赖方,依赖于证书真实性的实体。

在电子签名应用中,即为电子签名依赖方。

依赖方可以是、也可以不是一个订户。

* 其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。

4、证书应用* 所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、旅游订单等。

* 所颁发证书禁止的证书应用列表或者类型。

5、策略管理描述负责起草、注册、维护和更新当前电子认证业务规则的组织名称和邮件地址,联系人姓名、电子邮件地址、电话号码和传真号码。

作为一种替代方案,可不指定真实人,而是定义一个称谓或角色、一个电子邮件别名或其他通用的联系信息。

主管部分也可能会制定专门的证书策略,并可指定某个电子认证服务机构的电子认证业务规则符合某种证书策略。

如果这样,则需要在此声明批准电子认证业务规则的人或机构,包括名称、电子邮件、电话、传真以及其他常用信息,并说明批准流程。

6、定义和缩写文档中所使用术语的定义一览表,还包括缩略语及其含义的一览表。

例如: 电子认证服务机构(CA)注册机构(RA)证书策略(CP)电子认证业务规则(CPS)证书吊销列表(CRL)在线证书状态协议(OCSP)电子签名认证证书(证书)电子签名人(证书持有者、订户)电子签名依赖方(证书使用者、依赖方)私钥(电子签名制作数据)公钥(电子签名验证数据)(二)信息发布与信息管理描述任何与认证信息发布相关的内容,包括信息库的运营者、运营者的职责、2信息发布的频率以及对所发布信息的访问控制等。

1、运营信息库的实体标识,如电子认证服务机构、或独立信息库服务提供者。

2、运营者发布其业务实践、证书和证书当前状态的职责,标识出对公众可用和不可用的项、子项和元素。

3、信息发布的时间和频率。

CPS、证书、OCSP和CRL。

4、对发布信息的访问控制,包括CP、身份标识与鉴别 (三)描述电子认证服务机构在颁发证书之前,对证书申请者的身份和其他属性进行鉴别的过程,以及标识和鉴别密钥更新请求者和吊销请求者的方法。

说明命名规则,包括在某些名称中对商标权的承认问题。

1、命名* 分配给实体的名称类型,如X.500甄别名、RFC-822名称、X.400名称。

* 名称是否一定要有意义。

* 订户是否能够使用匿名或假名,如果可以,订户可以使用或将被分配给什么样的名称。

准和RFC-822。

* 理解不同名称形式的规则,如X.500标* 名称是否需要唯一。

* 对商标的承认、鉴别。

2、初始身份确认* 对机构申请者的组织身份进行身份标识和鉴别的要求,如咨询提供组织身份识别服务的数据库、或检查组织的资质文件。

* 对于个人订户或代表组织订户的个人进行身份标识和鉴别的要求。

* 在初始注册中没有验证的订户信息列表。

* 对机构的验证涉及确定一个人是否具有特定的权力或许可,包括代表组织获取证书的许可。

3、密钥更新请求中的标识与鉴别针对于密钥更新中对每个实体身份标识和鉴别过程,说明下列元素。

* 常规密钥更新中对身份标识和鉴别的要求,如使用当前有效密钥对包含新密钥的密钥更新请求进行签名。

* 证书被吊销后密钥更新中对身份标识和鉴别的要求,如使用原始身份验证相同的流程。

4、吊销请求中的标识与鉴别描述对每个实体类型(电子认证服务机构、注册机构、订户或其他参与者)吊销请求的身份标识和鉴别过程。

(四)证书生命周期操作要求说明在证书生命周期方面对电子认证服务机构及相关实体的要求,注册机构、订户或其他参与者的要求,在每个子项中可能需要对电子认证服务机构、注册机构、订户或其他参与者予以分别考虑。

1、证书申请* 提交证书申请的实体,如证书申请者或注册机构。

* 实体在提交证书申请时所使用的注册过程,以及在此过程中各方的责任。

3为了接收证书申请,电子认证服务机构或注册机构可能负有建立注册过程的责任。

同样,证书申请者可能负有在其证书申请中提供准确信息的责任。

2、证书申请处理描述处理证书申请的过程。

例如,为了验证证书申请,电子认证服务机构或注册机构可能要执行身份标识和鉴别流程,根据这些步骤,电子认证服务机构或注册机构将可能依照某些准则或者批准或者拒绝该证书申请。

最后,要设置电子认证服务机构或注册机构必须受理并处理证书申请的时间期限。

3、证书签发* 在证书签发过程中电子认证服务机构的行为,如电子认证服务机构验证注册机构签名和确认注册机构的权限、并生成证书的过程。

* 电子认证服务机构签发证书时对订户的通告机制,如电子认证服务机构用电子邮件将证书发送给订户或注册机构,或者用电子邮件将允许订户到网站下载证书的信息告知用户。

4、证书接受* 构成申请者接受证书的行为。

这种行为可以包括表示接受的确认步骤、暗示接受的操作、没能成功反对证书或其内容。

* 电子认证服务机构对证书的发布方式,例如电子认证服务机构可以将证书发布到X.500或LDAP证书库。

* 电子认证服务机构在颁发证书时对其他实体的通告,例如,电子认证服务机构可能发送证书到注册机构。

5、密钥对和证书的使用描述与密钥对和证书使用相关的责任。

* 与订户使用其私钥和证书相关的订户责任。

例如,订户可能被要求只能在恰当的应用范围内使用私钥和证书,这些应用在CP中设置,并且与有关的证书内容相一致(如密钥用途字段)。

* 与使用订户公钥和证书相关的依赖方责任。

例如,依赖方只能在恰当的应用范围内依赖于证书,这些应用在CP中设置,并且与有关的证书内容相一致(如密钥用途扩展)。

6、证书更新证书更新指在不改变证书中订户的公钥或其他任何信息的情况下,为订户签发一张新证书。

* 进行证书更新的情形,如证书已到期,但策略允许继续使用相同的密钥对。

* 请求更新的实体,如订户、注册机构或电子认证服务机构可以自动更新订户证书。

* 为签发新证书,电子认证服务机构或注册机构处理更新请求的过程,如使用令牌,比如口令,来重新鉴别订户、或使用与原始签发证书相同的过程。

* 颁发新证书给订户时的通告。

* 构成接受更新证书的行为。

* 电子认证服务机构对更新证书的发布。

* 电子认证服务机构在颁发证书时对其他实体的通告。

7、证书密钥更新证书密钥更新指订户或其他参与者生成一对新密钥并申请为新公钥签发一个新证书。

* 证书密钥更新的情形,如因私钥泄漏而吊销证书之后、或者证书到期并且4密钥对的使用期也到期之后。

* 可以请求证书密钥更新的实体,如订户。

* 为签发新证书,电子认证服务机构或注册机构处理密钥更新请求的过程。

* 颁发新证书给订户时的通告。

* 构成接受密钥更新证书的行为。

* 电子认证服务机构对密钥更新证书的发布。

* 电子认证服务机构在颁发证书时对其他实体的通告。

8、证书变更证书变更指改变证书中除订户公钥之外的信息而签发新证书的情形。

* 证书变更的情形,如名称改变等而造成的实体身份改变。

* 可以请求证书变更的实体,如订户或注册机构。

* 为签发新证书,电子认证服务机构或注册机构处理证书变更请求的过程,如采用与原始证书签发相同的过程。

* 颁发新证书给订户时的通告。

* 构成接受变更证书的行为。

* 电子认证服务机构对变更证书的发布。

* 电子认证服务机构在颁发证书时对其他实体的通告。

9、证书吊销和挂起* 证书挂起的情形和证书必须吊销的情形,例如订户合同期满、密码令牌丢失或怀疑私钥泄漏。

* 可以请求吊销证书的实体,例如对最终用户证书而言,可能是订户、注册机构或电子认证服务机构。

* 证书吊销请求的流程,如由注册机构签署的消息、由订户签署的消息或由注册机构电话通知。

* 订户可用的宽限期,订户必须在此时间内提出吊销请求。

* 电子认证服务机构必须处理吊销请求的时间。

* 为检查其所依赖证书的状态,依赖方可以或必须使用的检查机制。

* 如果使用CRL,其发布频率是多少。

* 如果使用CRL,产生CRL并将其发布到证书库的最大延迟是多少(也就是在生成CRL之后,在将其发布到证书库中所用的处理和通信相关最长延迟)。

* 在线证书状态查询的可用性,例如OCSP和状态查询的Web网站。

* 依赖方执行在线吊销状态查询的要求。

* 吊销信息的其他可用发布形式。

* 当因为私钥损害而造成证书吊销或挂起时,上述规定的不同之处(与其他原因造成吊销或挂起相比)。

* 证书挂起的情形。

* 可以请求证书挂起的实体,例如对于最终用户证书而言,订户、订户的上级、或者注册机构。

* 请求证书挂起的过程,如由订户或注册机构签署的消息、或由注册机构电话请求。

* 证书挂起的最长时间。

10、证书状态服务* 证书状态查询服务的操作特点。

* 查询服务的可用性,以及服务不可用时的适用策略。

5* 查询服务的其他可选特征。

11、停止使用认证服务说明订户停止使用电子认证服务时所使用的过程。

相关文档
最新文档