电子认证服务质量规范资料.docx

1、电子认证服务质量规范资料 电子认证服务机构服务规范（试行）2010年8月目 录1 范围 12 规范性引用文件 13 术语和定义 13.1 数字证书 digital certificate 13.2 电子签名 electronic signature 13.3 鉴别identification 13.4 验证authentication 13.5 可靠电子签名 reliable electronic signature 13.6 电子认证服务 electronic certification service 13.7 电子认证服务机构 electronic certification servi

2、ce provider 23.8 电子认证服务提供者 electronic certification service 23.9 订户 subscriber 23.10 证书依赖方 certification relying party 24 缩略语 25 电子认证服务总体说明 25.1 电子认证服务 25.2 电子认证服务要求 35.3 电子认证服务描述 35.4 服务保障 66 电子认证服务要求 76.1 业务咨询服务要求 76.2 业务办理服务要求 76.3 鉴别验证服务要求 96.4 技术支持服务要求 106.5 售后服务要求 107 电子认证服务保障要求 117.1 服务场所要求 1

3、17.2 服务组织机构要求 117.3 服务人员要求 127.4 服务设施要求 147.5 服务纪律要求 147.6 业务连续性要求 14参考文献 16电子认证服务机构服务规范范围本规范规定了电子认证服务的服务要求，内容包括：电子认证服务定义、电子认证服务要求。本规范适用于依法设立的电子认证服务机构。规范性引用文件下列凡是注日期的引用文件，其随后所有的修改或修订版均不适用于本规范，凡是不注日期的引用文件，其最新版本适用于本规范。2004年 中华人民共和国电子签名法2009年 中华人民共和国工业和信息化部令 第1号 电子认证服务管理办法2005年 中华人民共和国工业和信息化部 电子认证业务规则规

4、范(试行)2005年 国家密码管理局公告 第2号 电子认证服务密码管理办法（2009年10月28日 第17号 ）2005年 国家密码管理局 证书认证系统密码及其相关安全技术规范术语和定义下列术语和定义适用于本规范。数字证书 digital certificate由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。电子签名 electronic signature数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。鉴别identification辨别认定证书申请者提交材料真伪的过程。验证authentication对证书申请

5、材料和申请者之间的关联性进行确定的活动。可靠电子签名 reliable electronic signature符合下列条件的电子签名：（参见中华人民共和国电子签名法第三章第十三条）a) 电子签名制作数据用于电子签名时，属于电子签名人专有；b) 签署时电子签名制作数据仅由电子签名人控制；c) 签署后对电子签名的任何改动能够被发现；d) 签署后对数据电文内容和形式的任何改动能够被发现。电子认证服务 electronic certification service电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。电子认证服务机构 electronic certification se

6、rvice provider提供电子认证服务的第三方认证机构。电子认证服务提供者 electronic certification service一个实体，或者是法人或自然人，颁发证书或提供与电子签名相关的其他服务。订户 subscriber从电子认证服务机构接收证书的实体。在电子签名应用中，订户即为电子签名人。证书依赖方 certification relying party依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是、也可以不是一个订户。缩略语下列缩略语适用于本规范：PKIPublic Key Infrastructure公钥基础设施CACertificati

7、on Authority认证权威机构RARegistration Authority注册机构KMCKey Management Center密钥管理中心CRLCertification Revocation List证书撤销列表LDAPLightweight Directory Access Protocol轻量级目录访问协议CPS Certification Practice Statement电子认证业务规则USB KEYUniversal Serial Bus KEY采用USB接口的证书存储介质FAQFrequently Asked Questions经常问到的问题电子认证服务总体说明电

8、子认证服务根据电子认证服务管理办法，电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。电子认证服务从业机构所提供的服务内容应包括，且应当保证提供： 制作、签发、管理电子签名认证证书； 确认签发的电子签名认证证书的真实性； 提供电子签名认证证书目录信息查询服务； 提供电子签名认证证书状态信息查询服务。电子认证服务要求为规范电子认证服务过程，提升电子认证服务的客户满意度和可信度，在本规范中，根据电子认证服务的特点，将服务过程分为如下五个环节，并针对每个环节提出要求：1. 业务咨询服务：针对订户在业务办理前、业务办理中的各种需求，以及证书应用过程中的各种使用需求提供咨询服务；2. 业务

9、办理服务：指包括证书申请、证书更新、密钥更新、证书吊销和证书挂起在内的电子认证服务相关的业务办理服务；3. 鉴别验证服务：指电子认证服务机构在业务办理过程中，对证书订户的身份真实性、过程真实性进行鉴别和验证的服务，以及对证书订户资料的规范管理；4. 技术支持服务：是指为解决订户在证书使用过程中的各种技术问题和电子认证系统故障所提供的技术支持服务；5. 售后服务：是指针对订户证书办理和使用情况进行的，包括回访、投诉及资料归档在内的，各种售后服务。为保障上述服务过程符合证书订户的满意度需求，本规范定义了服务保障环节，针对服务开展过程中的组织、人员、设备、技术和纪律提出了能力要求。电子认证服务描述电

10、子认证服务机构向证书订户提供的服务内容包括：业务咨询服务、业务办理服务、鉴别验证服务、技术支持服务、售后服务。业务咨询服务业务咨询服务是指向用户提供电子认证服务业务介绍、业务办理流程、证书应用和电子认证服务相关法律法规的解读，包括：业务介绍：内容应包含电子认证服务机构所能签发的业务种类、证书种类、适应范围等；业务办理流程介绍：内容应包括证书订户在办理证书申请、吊销、更新等业务时所应遵循的流程和提交的各种资料；证书应用：内容应包括数字证书在应用系统中所能提供的功能和价值，操作方法等；电子签名法解读：应能提供电子签名法中对电子认证服务机构、证书订户、证书依赖方权利和责任的具体解读。业务办理服务业务

11、办理服务是针对证书订户提供包括证书申请、证书更新、密钥更新、证书变更、证书吊销和挂起、证书状态查询、密钥生成、备份和恢复等在内的各种服务：证书申请：是指证书订户向电子认证服务机构提出申请，并按照相关要求提供身份证明材料；电子认证机构完成资料收集、鉴别验证、证书签发、证书发放的服务过程；证书更新：用户使用的证书到期后如需继续使用，应向服务机构提出申请；服务机构审核用户提交资料，完成证书更新的服务过程；密钥更新：指订户生成一对新密钥并申请为新公钥签发新证书的服务过程；证书变更：指改变证书中除订户公钥之外的信息而签发新证书的服务过程；证书吊销和挂起：在订户合同期满、丢失或私钥泄漏的情况下进行证书的吊

12、销和挂起的服务过程；密钥生成、备份和恢复：主要说明加密证书私钥的生成、备份和恢复。5.3.2.1证书申请证书申请服务要求证书订户按照电子认证服务机构的电子认证业务规则（CPS）的要求提供准确的申请材料，电子认证服务机构或注册机构应执行严格的鉴别验证服务流程和准则，对材料进行真实性鉴别和验证，并根据结果对申请者给与批准受理或者拒绝受理的答复。5.3.2.2证书更新电子认证服务机构应明确告知证书订户需进行更新操作的情形、更新过程中对证书订户的要求、证书更新的请求及受理方式，更新证书的签发及发布方式。5.3.2.3证书密钥更新证书订户载证书更新时如需要对密钥对进行替换，电子认证服务机构应明确告知证书

13、订户需进行更新操作的情形、更新过程中对证书订户的要求、证书更新的请求及受理方式，更新证书的签发及发布方式。5.3.2.4证书变更，更新、证书更新_情况下可以钥并申请为新公钥签发一个的信息而签发新证书的情形_证书变更是指改变证书中除订户公钥之外的信息而签发新证书的情形。电子认证服务机构应明确告知证书订户需进行变更操作的情形、变更过程中对证书订户的要求、变更的请求及受理方式，变更证书的签发及发布方式。5.3.2.5证书的吊销和挂起证书吊销和挂起服务过程中，电子认证服务机构应明确证书吊销和挂起的情形、请求吊销和挂起权限以及吊销和挂起请求的程序、处理流程、宽限期、处理时间、发布方式和依赖方检查证书吊销

14、和挂起的要求。5.3.2.6证书的状态服务电子认证服务机构应明确证书状态查询服务的操作特点，查询服务可用性说明，服务不可用时适用策略，查询服务其他可选特征。5.3.2.7密钥的生成、备份和恢复通过电子认证服务机构或其他可信第三方进行的客户私钥生成、备份和恢复相关的策略和业务实践过程。包括客户私钥生成、备份、恢复和会话密钥封装和恢复过程。鉴别验证服务鉴别验证服务包括证书鉴别服务、验证服务和资料归档。鉴别服务应具有完善的流程和机制以确保材料的真实性和可信性；验证服务应具有完善的流程和机制以确保提交的材料与申请者身份关联和行为验证；资料归档服务应完成鉴别验证资料的收集、备案、归档。鉴别验证服务目的是

15、确认客户身份的真实性；确认客户证书服务请求的真实性；确保证书签发给正确的实体。鉴别验证服务是电子认证服务机构的核心功能之一，只有可靠的鉴别与验证服务，才能确保证书发放给正确的申请者，才能构建起可信的电子认证服务。技术支持服务技术支持服务是指电子认证服务机构在提供电子认证服务是提供相关的技术支持，包括有数字证书管理、数字证书使用、证书存储介质硬件设备使用、电子认证软件系统使用、电子认证服务支撑平台使用以及各类数字证书应用（如，证书登录、证书加密、数字签名和安全邮件等）等。电子认证服务过程中技术支持主要针对问题和故障，提供必要的支持方式。问题：主要指证书使用或者证书相关应用过程中的技术问题。如：证

16、书不能签名等。故障：主要指电子认证服务系统不能正常运行或者停止服务，如：系统崩溃、宕机等。 电子认证服务过程中对技术问题或者技术故障可以分为三类：一般事件、严重事件和重大事件。一般事件：系统部分出现故障，不影响系统整体运行，不影响业务处理或客户提出的安全技术咨询、索取技术资料、技术支持等；严重事件：系统不能正常运转或不稳定，但不影响主要业务的故障；重大事件：系统停止服务或有严重错误，影响业务处理或对客户造成巨大损失而产生严重后果和不良影响的故障，如：系统崩溃、宕机等。 电子认证服务机构应对技术问题和技术故障参考上述描述进行分类，并制定相应处理流程和机制，以确保服务的及时性和连续性。售后服务售后

17、服务主要是对用户在证书使用及证书相关应用中的意见、建议和投诉的处理，包括：回访：应制定回访计划和流程，记录用户意见和建议；投诉：应公布投诉接收方式、记录投诉内容、解决投诉问题；质量管理：应制定详细的质量监管计划，根据计划对相关部门服务进行监管。服务保障提供可靠电子签名的电子认证服务，还需要相应的服务保障，具体包括有服务场所、服务组织机构、服务人员、服务设施、服务纪律、业务连续性等服务保障。服务场所：指提供电子认证服务所必须的活动场所，包括数据机房、服务中心、办公场所等；服务组织机构：是指需设置承担、执行业务咨询服务、业务办理服务、售后服务、安全管理、质量管理的职能部门；服务人员：是指应配备业务

18、咨询人员、业务办理人员、鉴别验证人员、技术支持人员、售后服务人员和质量管理人员的工作角色，并明确具体工作职能；服务设施：是指提供电子认证服务所使用的设备配置应能实现快速接收客户问题与意见，并有能对问题记录，将问题转给相关售后服务和技术支持人员处理，以及将结果及时反馈给客户。如：电话呼叫中心、Web网站、邮件系统、及时通讯等；服务纪律：是指在提供五大类服务时，满足电子认证服务业要求，必须具有的服务纪律，如服务态度、服务用语、保密意识等；业务连续性：是指为保障所提供的电子认证服务质量，必须具备的系统可用性、业务持续运作、系统灾难恢复等保障能力。 电子认证服务要求业务咨询服务要求业务咨询服务应包括证

19、书业务、证书应用业务及其它电子认证机构开展的相关业务的咨询。业务咨询服务具体要求如下：a) 对证书业务的咨询应告知用户相应服务流程；b) 对证书应用业务的咨询应提供相应的宣传手册；c) 对电子签名法相关法律条文的咨询应能明确解答；d) 明确申请者和电子认证服务提供者的责任与义务。业务办理服务要求业务办理服务流程应包括七个环节：证书申请、证书更新、证书密钥更新、证书变更、正式吊销和挂起、证书状态查询、密钥的生成、备份和恢复。业务办理服务具体要求如下。 证书申请证书申请过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 对证书申请信息进行注册；b) 对接收到申请材料进行通知；c) 对申请

20、材料保密；d) 明确申请者和电子认证服务提供者的责任与义务。证书申请处理过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 明确描述处理证书申请的流程并发布，并告知申请者；b) 有明确的申请受理时间期限；c) 告知申请拒绝的合理理由。证书签发过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 电子认证服务机构验证注册机构签名和确认注册机构的权限、并签发证书；b) 建立面向证书申请者的通告机制。 证书接收过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 明确电子认证服务机构对证书的发布方式；b) 对申请者接收证书的步骤、操作等的记录和审计；c) 电子认证服务机构对

21、其他实体（如注册机构、依赖方等）的通告。证书更新证书更新过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 电子认证服务机构发布的证书已到期，但证书策略允许继续使用相同的密钥对；b) 应重新进行与原始签发证书相同的过程；c) 通告订户和其他相关实体；d) 发布更新证书。证书密钥更新证书密钥更新过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 证书密钥更新的情形符合电子认证服务业务规则；b) 证书密钥更新过程满足证书认证系统密码及其相关安全技术规范；c) 通告订户和其他相关实体；d) 发布更新证书。证书变更证书变更过程中电子认证服务机构或注册机构应至少满足以下基本条件：a)

22、 证书变更的情形符合电子认证服务业务规则b) 应重新进行与原始签发证书相同的过程；c) 通告订户和其他相关实体；d) 发布更新证书。证书的吊销和挂起证书变更过程中电子认证服务机构或注册机构应至少满足以下基本条件：a) 证书吊销和挂起情形符合电子认证服务业务规则；b) 明确证书吊销和挂起流程；c) 明确订户可用的宽限期；d) 明确吊销和挂起请求处理期限；e) 如果使用CRL，明确CRL发布频率；f) 如果使用CRL，明确发布到证书库中的最长延迟；g) 明确在线证书状态查询的可用性和方法；h) 明确证书挂起的最长时间或期限；i) 发布吊销或挂起信息。证书的状态服务证书状态服务过程中电子认证服务机构

23、应至少满足以下基本条件：a) 明确证书状态查询服务的操作流程和特点；b) 明确服务的可用性，以及服务不可用时的适用策略；c) 如果查询服务还有其他可选特征，需要明确。密钥的生成、备份和恢复密钥生产、备份和恢复过程中电子认证服务机构应至少满足以下基本条件：a) 密钥生产、备份和恢复的情形符合电子认证服务业务规则；b) 密钥生产、备份和恢复过程满足证书认证系统密码及其相关安全技术规范；c) 明确与私钥生成、备份和恢复相关的策略；d) 明确会话密钥封装和恢复相关策略。鉴别验证服务要求鉴别验证服务流程应包括三个环节：鉴别服务、验证服务、资料归档。服务机构进行资料归档操作可实现用户关系管理，从而提高用户

24、服务质量，资料归档应遵守电子认证业务规则规范（CPS）中的要求。鉴别服务是指对证书申请者的身份和其他属性进行鉴别的过程；通过对用户提交的资质文件进行认证，以确认企业的真实身份，同时对客户提交的申请信息进行确认。具体要求如下：a) 对于申请个人证书的用户应鉴别其提供的身份证件的真实性，核实证书申请表；b) 对于申请企业证书的用户应鉴别其提供的组织机构代码证、企业法人证、营业执照等相关证件的真实性，核实企业证书申请表；c) 鉴别服务的时间一般不超过一天。验证服务是指对申请办理证书业务的人员进行身份关联验证和行为验证。具体要求如下：a) 对于申请办理企业证书的用户应验证其身份证件，核实企业出具的委托

25、办理关系；b) 验证服务的时间一般不超过一天。资料归档是指对鉴别验证资料进行收集、备案、归档和查询。具体要求如下：a) 建立一套完善地客户资料管理规范，对资料的收集、使用、保管、借阅、销毁等作详细的规范，确保用户资料得到妥善、安全的管理、保存和归档；b) 明确档案管理员的职责和具体负责工作人员；c) 明确用户资料保管期限，用户资料保管期最短应为用户证书过期后的五年。技术支持服务要求技术支持服务内容上应能主要解决证书使用问题和认证服务系统故障两大方面问题。技术支持服务内容应明确对一般事件、严重事件、重大事件的处理流程和响应时间。技术支持服务形式上应尽量丰富：电话支持、远程协助支持、现场支持等。技

26、术支持响应时间应以最大程度不影响客户使用为准则。售后服务要求售后服务主要是对客户证书使用情况的回访、接收客户投诉及相关资料归档。具体要求如下：a) 应制定详细的客户证书使用情况回访计划，计划中明确回访的目的、时间、形式；b) 应及时接收客户投诉并解决相关问题；c) 应将售后服务中产生的相关文档进行归档、保存。电子认证服务保障要求服务保障要求主要体现在服务场所、服务组织机构、服务人员、服务设施、服务纪律、业务连续性等方面保障要求。服务场所要求电子认证服务机构提供电子认证服务应具有固定的经营场所和满足电子认证服务要求的物理环境，应满足电子认证服务管理办法和认证系统密码及其相关安全技术规范等法律法规

27、的要求。服务组织机构要求电子认证服务组织机构应包含业务咨询服务职能部门、业务办理服务职能部门、鉴别验证服务职能部门、售后服务职能部门、技术支持服务职能部门，同时为了做好电子认证服务质量控制，还需要质量管理职能部门。其中：业务咨询服务职能部门的服务应达到如下要求：a) 应能提供电子认证机构相应的认证业务介绍；b) 应能提供证书业务及相关应用业务具体流程咨询；c) 应能给用户提供电子认证机构产品方案宣传手册；d) 应能提供电子认证业务相关法律条文的咨询。业务办理服务职能部门的服务应达到如下要求：a) 应制定详细、合理的业务办理流程；b) 应能承担业务办理过程中身份证明资料的收集工作；c) 应能完成

28、证书存储介质的寄送工作。鉴别验证职能服务部门的服务应达到如下要求：a) 应制定明确的鉴别验证服务流程；b) 应准确鉴别和验证客户申请资料；c) 应根据客户提交资料正确的批准证书申请；d) 应对客户资料归档并妥善保管。售后服务职能部门的服务应达到如下要求：a) 应制定明确的客户回访计划和流程；b) 应制定并完成各类服务手册，编制FAQ；c) 应接受和反馈客户投诉。技术支持职能部门的服务应达到如下要求：a) 应对客户提供培训和指导；b) 应处理客户使用证书过程中的技术问题；c) 应提供多种技术支持手段，包括电话支持、网络支持、上门支持等；d) 应编制相关技术手册；e) 应能及时排除用户服务系统故障

29、，保证用户认证服务系统正常运行。服务管理职能部门的服务应达到如下要求：a) 应根据鉴别验证服务部门的职责规范进行跟踪和管理；b) 应根据客户服务部门的职责规范进行跟踪和管理；c) 应根据技术支持部门的职责规范进行跟踪和管理；d) 应进行定期或不定期调查进行用户满意度调查；e) 应及时处理客户投诉。服务人员要求电子认证服务机构提供电子认证服务，对订户提供服务的人员基本要求应至少满足以下内容：a) 应有专职的业务咨询人员，负责电子认证机构业务咨询及业务流程介绍；b) 必须有专职的业务办理人员，负责证书申请、吊销、更新等服务中用户有效身份资料收集；c) 必须有专职的鉴别验证服务人员，负责对用户身份资

30、料进行鉴别和验证，负责对申请资料进行备案管理，鉴别验证服务人员数量需要与证书受理业务的数量及鉴别与验证效率成正比；d) 应有专职的电子认证服务技术支持人员，负责服务过程中面临的相关应用问题和解决系统故障；e) 应有专职的电子认证服务售后服务人员，负责对用户的意见和投诉进行管理并将相关资料保存；f) 应有专职的质量管理人员，负责服务过程质量跟踪和控制。具体各角色的职能要求如下：业务咨询人员应能完成如下要求：a) 应具备提供电子认证相应的认证业务介绍的能力；b) 应具备提供证书业务及相关应用业务具体流程咨询的能力；c) 应具备提供电子认证业务相关法律条文的咨询的能力。业务办理人员应能完成如下要求：a) 应能制定详细、合理的业务办理流程；b) 应能按照业务办理时间要求完成业务办理过程中身份证明资料的收集；c) 应能按照业务办理时间要求完成证书存储介质的寄送。鉴别验证人员应能完成如下要求：a)