第1页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共40页电子认证业务规则规范(试行)信息产业部电子认证服务管理办公室2005年4月第2页共40页第1页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共40页说明为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。信息产业部电子认证服务管理办公室2005年4月第3页共40页第2页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共40页电子认证业务规则规范(试行)一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。(一)概括性描述(二)信息发布与信息管理(三)身份标识与鉴别(四)证书生命周期操作要求(五)认证机构设施、管理和操作控制(六)认证系统技术安全控制(七)证书、证书吊销列表和在线证书状态协议(八)认证机构审计和其他评估(九)法律责任和其他业务条款二、主要组成部分的内容说明(一)概括性描述对电子认证业务规则进行概要性表述,给出文档的名称和标识,第4页共40页第3页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共40页指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。1、概述对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。3、电子认证活动参与者*电子认证服务机构,也就是证书认证机构,是颁发证书的实体。*注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。*订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。*依赖方,依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。*其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。4、证书应用第5页共40页第4页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共40页*所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、旅游订单等。*所颁发证书禁止的证书应用列表或者类型。5、策略管理描述负责起草、注册、维护和更新当前电子认证业务规则的组织名称和邮件地址,联系人姓名、电子邮件地址、电话号码和传真号码。作为一种替代方案,可不指定真实人,而是定义一个称谓或角色、一个电子邮件别名或其他通用的联系信息。主管部分也可能会制定专门的证书策略,并可指定某个电子认证服务机构的电子认证业务规则符合某种证书策略。如果这样,则需要在此声明批准电子认证业务规则的人或机构,包括名称、电子邮件、电话、传真以及其他常用信息,并说明批准流程。6、定义和缩写文档中所使用术语的定义一览表,还包括缩略语及其含义的一览表。例如:电子认证服务机构(CA)注册机构(RA)证书策略(CP)电子认证业务规则(CPS)证书吊销列表(CRL)第6页共40页第5页共40页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第6页共40页在线证书状态协议(OCSP)电子签名认证证书(证书)电子签名人(证书持有者、订户)电子签名依赖方(证书使用者、依赖方)私钥(电子签名制作数据)公钥(电子签名验证数据)(二)信息发布与...
