电子商务认证机构建设、运营和管理规范指南

　　电子商务认证机构建设、运营和管理规范指南(试行)

　　[信息产业部信息化推进司、国家电子商务认证机构管理中心颁布2003]

　　说明

　　随着计算机互联网的发展，电子商务作为一种新型的网上交易方式正在兴起;并发挥着越来越重要的作用。

　　电子商务是在公共、开放的网络环境中进行，与传统的交易方式相比有本质上的区别。在电子商务中，交易的双方所面临的安全问题有：

　　保密性;如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取;

　　完整性：如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易;

　　身份认证：在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性;

　　抗抵赖：在电子商务的交易完成后，如何保证交易的任何一万无法否认已发生的交易。

　　为了确认交易方并完成交易，数字证书在整个电于商务中起着极其重要的作用。电于商务认证机构(简称CA中心)作为一个公共的可信第三方，负责核对和验证各交易参与方身份;通过颁发、维护和管理数字证书，提供数字证书服务;实现网上的身份认证;通过身份认证保障电子商务中交易的安全性和可靠性;从而建立参与交易者之间的相互信任。

　　本指南旨在提出电子商务认证机构建设、运营和管理规范的基本内容;并分别从系统建设、物理建设、人事管理、运营管理、监督与审核五个方面进行了描述，作为中国电子商务认证机构相关规范建立的参考。

　　本指南着重考虑基于PKI技术的、在开放的计算机互联网环境中提供数字证书服务的电子商务认证机构建设、运营和管理规范的建立。对于在封闭系统中(如在团体或某个行业内)运行的电子商务认证机构，本指南也可作为参考。

　　电子商务认证机构应参考本指南的内容，建设自己的认证系统，建立系统建设、物理建设、人事管理、运营管理、监督与审核五个方面规范文档，作为电子商务认证机构运营和管理规范;并报本中心备案。

　　规范文档参考清单及说明见附录。

　　第一章系统建设

　　本章阐述电子商务CA中心户提供的服务功能、性能要求;以及作为第三方身份认证服务提供商所必须考虑的CA系统建设问题。重点描述CA系统本身及其逻辑环境设计、实施、安全目标和买现等方面;其中涉及到的物理场地、人员安全的内容将在第二、第三章作重点描述。

　　1、1 CA系统

　　CA系统是一个提供网上身份认证的系统，在系统本身和系统运营使用中各个环节都需要保证安全。下面从CA系统所需提供的功能及性能要求出发，对 CA系统的逻辑结构、网络结构、数据通信设计、密钥管理、证书认证模式等进行描述。

　　1.1.l 系统功能要求

　　CA系统用于电子商务PKI/CA中心，并通过该中心为用户提供各种证书服务。PKI/CA中心主要提供下列服务： (1)提供各种证书，包括个人用户证书、Web服务器证书、安全设备证书等及其生命周期管理服务，证书格式采用国际标准，并可以灵活定制; (2)提供多种注册机关(RA)的建设方式：则可以全部托管在CA中心系统，也可以部分托管在CA中心;部分建在远端; (3)提供证书审批的模式，即RA管理员手工审批或RA设备自动审批; (4)提供多种CA认证体系，支持交叉认证。公用的认证体系下签发的证书、证书链的根属于CA认证中心，专用认证体系下各专用单位有自己独立的根CA; (5)提供各种相关的服务，如证书状态在线查询、证书黑名单、目录服务等; (6) 提供时间戳(又称数字公证)服务; (7)提供证书漫游服务;为经常在不同计算机设备上使用证书的用户服务： (8)提供双证书服务，分别用于加密和签名; (9)提供密钥管理服务;实现用户证书私钥的集中管理和恢复; (10)提供完整的安全解决方案，以适应各种网络应用，如Web的站点访问控制、电子邮件、VPN等。

　　1.1.2 系统性能要求

　　CA系统具有高度的安全性、可靠性;易于扩展、灵活性。系统对用户接采用标准的HTTP、HTTPS和LDAP协议,确保各种用户都能够使用本系统服务;系统各模块在运行期间不保存状态信息，其状态信息保存在配置文件和数据库内部，保证系统的部署方便性和配置方便性，当系统需改变配置时无需中断系统的服务;各模块的功能可以通过配置文件进行控制，系统可以根据不同的需求进行设置;系统某一功能模块可有多个事例，并且多个事例可运行在一台或多台计算机上;功能模块对其他功能模块的调用。可通过配置(依次)调用被调用功能模块的多个事例可运行在一台或多台计算机上;功能模块对其他功能模块的调用，可通过配置(依次)调用被调用功能模块的多个事例，使系统存在冗余，保证系统的不间断运行。

　　1.1.3 系统逻辑结构

　　整个CA系统逻辑上由数据库、证书库、业务控制处理流程及相关操作机构、人员共同组成，CA系统逻辑结构支持的对象有8类，他们的作用如下：

　　(1)数据库管理：负责整个以中心内部数据库数据的管理;

　　(2)证书管理：为PKI/CA系统的核心,实现证书签发、证书发布、证书状态查询、文档时戳、密钥恢复、证书撤消等功能;

　　(3) 证书签名：保存签名CA的公开密钥，并根据证书管理模块的指令使用签名CA的私钥进行签名;

　　(4)中心管理：为CA中心内部管理员提供对系统的管理，包括证书管理、客户管理等;

　　(5)中心管理员：通过中心管理对CA系统运行进行管理;

　　(6)CA中心前端：最终用户提供访问CA中心功能的Web/LDAP接口，并实现托管RA功能;

　　(7)RA：为PKI/CA系统的功能模块;被用来实现本地RA、密钥管理和自动管理等功能;

　　(8)最终用户：为PKI/CA系统的服务对象;通过RA或CA中心前端来使用 PKI/CA系统的服务。

　　1.1.4 网络结构

　　CA系统的计算机网络需要合理分段，原则上要求整个网络应包括七部分：