電子認證服務業(yè)務規(guī)則

1、電子認證服務業(yè)務規(guī)則（版本 2.0）發(fā)布日期：二七年四月生效日期：二七年四月天津信息港電子商務有限公司版權聲明天津市數(shù)字證書認證中心(簡稱為TJCA)由天津信息港電子商務有限公司建設并運營,所負責編寫修改的TJCA的電子認證服務業(yè)務規(guī)則中所涉及的“TJCA”及其圖標等，均由天津信息港電子商務有限公司獨立享有版權和其它知識產權。天津信息港電子商務有限公司擁有對本電子認證服務業(yè)務規(guī)則的最終解釋權。未經天津信息港電子商務有限公司的書面同意，任何個人和團體不得以任何方式、任何途經（電子的、機械的、影印、錄制等）進行部分的轉載、粘貼或發(fā)布本CPS，更不得更改本文件的部分詞匯進行轉貼。在被授權情況下，本文

2、副本可以在非獨占性的、免收版權許可使用費的基礎上進行復制及傳播，并應保證復制、傳播文件的準確性、完整性。對任何復制本文件的其他請求，請寄往以下地址：天津信息港電子商務有限公司地 址：天津市河北區(qū)昆緯路88號聯(lián)系電話政編碼：300140修訂表版本發(fā)布日期備注V1.02006年4月V2.02007年4月目 錄TOC * MERGEFORMAT第一章總則 PAGEREF _Toc168108649 h 11.1 概述 PAGEREF _Toc168108650 h 11.1.1 TJCA PAGEREF _Toc168108651 h 11.1.2 電子認證服務業(yè)務規(guī)則（

3、CPS） PAGEREF _Toc168108652 h 21.2 TJCA標識 PAGEREF _Toc168108653 h 21.3 文檔名稱與標識符 PAGEREF _Toc168108654 h 31.3.1 名稱 PAGEREF _Toc168108655 h 31.3.2 發(fā)布 PAGEREF _Toc168108656 h 31.4 電子認證活動參與者 PAGEREF _Toc168108657 h 31.4.1 電子認證服務機構 PAGEREF _Toc168108658 h 31.4.2 注冊審批機構（Registration Authority） PAGEREF _Toc

4、168108659 h 41.4.3 注冊分支機構（Registration Authority Branch） PAGEREF _Toc168108660 h 51.4.4 受理點（Business Terminal） PAGEREF _Toc168108661 h 51.4.5 訂戶（Subscriber） PAGEREF _Toc168108662 h 51.4.6 信任體（Relying Party） PAGEREF _Toc168108663 h 61.4.7 證書申請者（Certificates Applicant） PAGEREF _Toc168108664 h 61.4.8 其

5、他參與者（Other Participants） PAGEREF _Toc168108665 h 71.5 證書應用 PAGEREF _Toc168108666 h 71.5.1 適合的證書應用 PAGEREF _Toc168108667 h 71.5.2 限制的證書應用 PAGEREF _Toc168108668 h 81.6 策略管理 PAGEREF _Toc168108669 h 81.6.1 策略文檔管理機構 PAGEREF _Toc168108670 h 81.6.2 決定本CPS符合策略的機構 PAGEREF _Toc168108671 h 91.6.3 公告 PAGEREF _T

6、oc168108672 h 91.6.4 認證業(yè)務規(guī)則的變更和發(fā)布 PAGEREF _Toc168108673 h 91.7 定義與縮寫 PAGEREF _Toc168108674 h 101.7.1 TJCA PAGEREF _Toc168108675 h 101.7.2 TJCA認證委員會 PAGEREF _Toc168108676 h 101.7.3 電子認證服務機構（Certificate Authority，CA） PAGEREF _Toc168108677 h 101.7.4 注冊機構（Registration Authority，RA） PAGEREF _Toc168108678

7、 h 101.7.5 注冊分支機構 PAGEREF _Toc168108679 h 101.7.6 受理點 PAGEREF _Toc168108680 h 111.7.7 發(fā)證機構 PAGEREF _Toc168108681 h 111.7.8 TJCA數(shù)字證書簽發(fā)系統(tǒng) PAGEREF _Toc168108682 h 111.7.9 TJCA災難恢復策略 PAGEREF _Toc168108683 h 111.7.10 訂戶（Subscriber） PAGEREF _Toc168108684 h 111.7.11 證書申請者 PAGEREF _Toc168108685 h 111.7.12 證

8、書申請 PAGEREF _Toc168108686 h 111.7.13 證書口令 PAGEREF _Toc168108687 h 121.7.14 證書序列號 PAGEREF _Toc168108688 h 121.7.15 甄別名 PAGEREF _Toc168108689 h 121.7.16 通用名稱 PAGEREF _Toc168108690 h 121.7.17 密碼管理中心 PAGEREF _Toc168108691 h 121.7.18 OCSP PAGEREF _Toc168108692 h 121.7.19 LDAP PAGEREF _Toc168108693 h 121.

9、7.20 PKI PAGEREF _Toc168108694 h 121.7.21 CRL PAGEREF _Toc168108695 h 131.7.22 認證 PAGEREF _Toc168108696 h 131.7.23 數(shù)字證書 PAGEREF _Toc168108697 h 131.7.24 數(shù)字簽名 PAGEREF _Toc168108698 h 131.7.25 電子簽名 PAGEREF _Toc168108699 h 131.7.26 私人密鑰 PAGEREF _Toc168108700 h 141.7.27 公開密鑰 PAGEREF _Toc168108701 h 141.

10、7.28 簽名密鑰對 PAGEREF _Toc168108702 h 141.7.29 加密密鑰對 PAGEREF _Toc168108703 h 141.7.30 PKCS PAGEREF _Toc168108704 h 14第二章信息發(fā)布與信息管理 PAGEREF _Toc168108705 h 152.1 信息發(fā)布 PAGEREF _Toc168108706 h 152.1.1 CPS的發(fā)布 PAGEREF _Toc168108707 h 152.1.2 TJCA公眾信息的發(fā)布 PAGEREF _Toc168108708 h 152.1.3 證書的發(fā)布 PAGEREF _Toc16810

11、8709 h 152.1.4TJCA信息庫 PAGEREF _Toc168108710 h 162.2 發(fā)布時間及頻率 PAGEREF _Toc168108711 h 162.2.1 電子認證服務業(yè)務規(guī)則的發(fā)布時間和頻率 PAGEREF _Toc168108712 h 162.2.2 TJCA公眾信息的發(fā)布時間及頻率 PAGEREF _Toc168108713 h 172.2.3 證書的發(fā)布時間及頻率 PAGEREF _Toc168108714 h 182.2.4 CRL的發(fā)布時間和頻率 PAGEREF _Toc168108715 h 182.3 信息訪問控制 PAGEREF _Toc1681

12、08716 h 182.3.1 信息的發(fā)布與處理 PAGEREF _Toc168108717 h 182.3.2 信息訪問控制和安全審計 PAGEREF _Toc168108718 h 192.3.3 信息資料權限管理 PAGEREF _Toc168108719 h 19第三章身份標識與鑒別 PAGEREF _Toc168108720 h 203.1 命名 PAGEREF _Toc168108721 h 203.1.1 名稱類型PAGEREF _Toc168108722 h 203.1.2 對名稱有意義的要求 PAGEREF _Toc168108723 h 203.1.3 訂戶的匿名或偽名 P

13、AGEREF _Toc168108724 h 213.1.4 理解不同名稱形式的規(guī)則 PAGEREF _Toc168108725 h 213.1.5 名稱的唯一性 PAGEREF _Toc168108726 h 213.1.6 商標的識別、鑒證和角色 PAGEREF _Toc168108727 h 213.2 初始身份驗證 PAGEREF _Toc168108728 h 213.2.1申請者身份的鑒別 PAGEREF _Toc168108729 h 213.2.2 組織機構身份的鑒別 PAGEREF _Toc168108730 h 223.2.3 個人身份的鑒別 PAGEREF _Toc168

14、108731 h 233.2.4 域名(或IP地址)的確認和鑒別 PAGEREF _Toc168108732 h 243.2.5 授權確認 PAGEREF _Toc168108733 h 253.3 密鑰更新請求的標識與鑒別 PAGEREF _Toc168108734 h 253.4 吊銷請求的標識與鑒別 PAGEREF _Toc168108735 h 26第四章證書生命周期操作要求 PAGEREF _Toc168108736 h 274.1 證書申請 PAGEREF _Toc168108737 h 274.1.1 個人證書 PAGEREF _Toc168108738 h 274.1.2 單位

15、證書（包括國家機構、組織和企事業(yè)單位） PAGEREF _Toc168108739 h 284.1.3 設備證書 PAGEREF _Toc168108740 h 284.1.4 代碼簽名證書 PAGEREF _Toc168108741 h 294.2 證書申請審核 PAGEREF _Toc168108742 h 304.3 證書簽發(fā) PAGEREF _Toc168108743 h314.4 密鑰的申請和生成 PAGEREF _Toc168108744 h 314.5 證書的發(fā)放和接收 PAGEREF _Toc168108745 h 324.6 證書信息的發(fā)布 PAGEREF _Toc16810

16、8746 h 324.7 密鑰和證書的使用 PAGEREF _Toc168108747 h 334.7.1訂戶私鑰和證書的使用 PAGEREF _Toc168108748 h 334.7.2 密鑰及證書的使用說明 PAGEREF _Toc168108749 h 354.7.3 證書和公鑰的用途 PAGEREF _Toc168108750 h 354.8 證書及密鑰更新 PAGEREF _Toc168108751 h 354.9 證書變更 PAGEREF _Toc168108752 h 364.10 證書補發(fā) PAGEREF _Toc168108753 h 364.11 證書的吊銷和掛起 PAG

17、EREF _Toc168108754 h 374.12 證書的恢復 PAGEREF _Toc168108755 h 394.13 證書狀態(tài)查詢 PAGEREF _Toc168108756 h 394.14 終止服務 PAGEREF _Toc168108757 h 394.15 證書介質解鎖 PAGEREF _Toc168108758 h 40第五章認證機構設施、管理和操作控制 PAGEREF _Toc168108759 h 415.1 物理控制 PAGEREF _Toc168108760 h 415.1.1 場地位置與建筑 PAGEREF _Toc168108761 h 415.1.2 物理訪

18、問控制 PAGEREF _Toc168108762 h 415.1.3 電力和空調 PAGEREF _Toc168108763 h 425.1.4 水患防治 PAGEREF _Toc168108764 h 425.1.5 防火 PAGEREF _Toc168108765 h 425.1.6 介質存儲 PAGEREF _Toc168108766 h 425.1.7 廢物處理 PAGEREF _Toc168108767 h 435.1.8 異地備份 PAGEREF _Toc168108768 h 435.2 程序控制 PAGEREF _Toc168108769 h 435.2.1 可信角色 PAG

19、EREF _Toc168108770 h 435.2.2 每項任務需要的人數(shù) PAGEREF _Toc168108771 h 445.2.3 每個角色的識別與鑒別 PAGEREF _Toc168108772 h 455.2.4 需要職責分割的角色 PAGEREF _Toc168108773 h 455.3 人員培訓 PAGEREF _Toc168108774 h 455.3.1 資格、經歷和無過失要求 PAGEREF _Toc168108775 h 455.3.2 背景審查程序 PAGEREF _Toc168108776 h 465.3.3 培訓要求 PAGEREF _Toc168108777

20、 h 465.3.4 再培訓周期和要求 PAGEREF _Toc168108778 h 465.3.5 工作崗位輪換周期和順序 PAGEREF _Toc168108779 h 475.3.6 未授權行為的處罰 PAGEREF _Toc168108780 h 475.3.7 獨立合約人的要求 PAGEREF _Toc168108781 h 475.3.8 提供給員工的文檔 PAGEREF _Toc168108782 h 475.4 審計日志程序 PAGEREF _Toc168108783 h 485.4.1 記錄事件的類型 PAGEREF _Toc168108784 h 485.4.2 處理日志

21、的周期 PAGEREF _Toc168108785 h 485.4.3 審計日志的保存期限 PAGEREF _Toc168108786 h 495.4.4 審計日志的保護 PAGEREF _Toc168108787 h 495.4.5 審計日志備份程序 PAGEREF _Toc168108788 h 495.4.6 審計收集系統(tǒng) PAGEREF _Toc168108789 h 495.4.7 對攻擊者的處理 PAGEREF _Toc168108790 h 495.4.8 脆弱性評估 PAGEREF _Toc168108791 h 505.5 記錄歸檔 PAGEREF _Toc168108792

22、 h 505.5.1 歸檔記錄的類型 PAGEREF _Toc168108793 h505.5.2 歸檔記錄的保存期限 PAGEREF _Toc168108794 h 505.5.3 歸檔文件的保護 PAGEREF _Toc168108795 h 515.5.4 歸檔文件的備份程序 PAGEREF _Toc168108796 h 515.5.5 記錄時間戳要求 PAGEREF _Toc168108797 h 515.5.6 歸檔收集系統(tǒng) PAGEREF _Toc168108798 h 525.5.7 獲得和檢驗歸檔信息的程序 PAGEREF _Toc168108799 h 525.6 電子認證

23、服務機構密鑰更替 PAGEREF _Toc168108800 h 525.6.1 密鑰更替定義 PAGEREF _Toc168108801 h 525.6.2 根證書有效期 PAGEREF _Toc168108802 h 525.6.3 CRL PAGEREF _Toc168108803 h 535.7 災難恢復 PAGEREF _Toc168108804 h 535.7.1 事故和損害處理程序 PAGEREF _Toc168108805 h 535.7.2 計算機資源、軟件和/或數(shù)據(jù)的損壞 PAGEREF _Toc168108806 h 535.7.3 實體私鑰損害處理程序 PAGEREF

24、_Toc168108807 h 535.7.4 災難后的業(yè)務連續(xù)能力 PAGEREF _Toc168108808 h 545.8 電子認證服務機構或注冊機構的終止 PAGEREF _Toc168108809 h 54第六章認證系統(tǒng)技術安全控制 PAGEREF _Toc168108810 h 566.1 密鑰對的產生和安裝 PAGEREF _Toc168108811 h 566.1.1 密鑰對的產生 PAGEREF _Toc168108812 h 566.1.2 私鑰傳遞給訂戶 PAGEREF _Toc168108813 h 566.1.3 公鑰傳遞給證書簽發(fā)機構 PAGEREF _Toc168

25、108814 h 576.1.4 根公鑰的傳遞 PAGEREF _Toc168108815 h 576.1.5 密鑰長度 PAGEREF _Toc168108816 h 576.1.6 公鑰參數(shù)的產生和質量檢查 PAGEREF _Toc168108817 h 576.1.7 密鑰使用目的 PAGEREF _Toc168108818 h 576.2 私鑰保護與密碼模塊的控制 PAGEREF _Toc168108819 h 586.2.1 密碼模塊標準與控制 PAGEREF _Toc168108820 h 586.2.2 私鑰多人控制 PAGEREF _Toc168108821 h 586.2.3

26、 私鑰托管 PAGEREF _Toc168108822 h 586.2.4 私鑰備份 PAGEREF _Toc168108823 h 586.2.5 私鑰歸檔 PAGEREF _Toc168108824 h 586.2.6 私鑰導入、導出密碼模塊 PAGEREF _Toc168108825 h 596.2.7 私鑰在密碼模塊的存儲 PAGEREF _Toc168108826 h 596.2.8 激活私鑰的方法 PAGEREF _Toc168108827 h 596.2.9 解除私鑰激活狀態(tài)的方法 PAGEREF _Toc168108828 h 596.2.10 銷毀私鑰的方法 PAGEREF

27、_Toc168108829 h 606.2.11 密碼模塊的評估 PAGEREF _Toc168108830 h 606.3 密鑰對管理的其他方面 PAGEREF _Toc168108831 h 616.3.1 公鑰歸檔 PAGEREF _Toc168108832 h 616.3.2 證書操作期和密鑰對使用期限 PAGEREF _Toc168108833 h 616.4 激活數(shù)據(jù) PAGEREF _Toc168108834 h 616.4.1 激活數(shù)據(jù)的產生和安裝 PAGEREF _Toc168108835 h 616.4.2 激活數(shù)據(jù)的保護 PAGEREF _Toc168108836 h 6

28、16.4.3 激活數(shù)據(jù)的其他方面 PAGEREF _Toc168108837 h 626.5 計算機安全控制 PAGEREF _Toc168108838 h 626.5.1 特別的計算機安全技術要求 PAGEREF _Toc168108839 h 626.5.2 計算機的安全等級 PAGEREF _Toc168108840 h 626.6 生命周期安全控制 PAGEREF _Toc168108841 h 636.6.1 系統(tǒng)開發(fā)控制 PAGEREF _Toc168108842 h 636.6.2 安全管理控制和生命周期的安全控制 PAGEREF _Toc168108843 h 636.7 網絡

29、安全控制 PAGEREF _Toc168108844 h 636.8 時間戳 PAGEREF _Toc168108845 h 64第七章證書、CRL及OCSP PAGEREF _Toc168108846 h 657.1 證書 PAGEREF _Toc168108847 h 657.1.1 證書版本號 PAGEREF _Toc168108848 h 667.1.2 證書擴展項 PAGEREF _Toc168108849 h 667.1.3 密鑰算法對象標識符 PAGEREF _Toc168108850 h 667.1.4 名稱形式 PAGEREF _Toc168108851 h 667.1.5

30、名稱限制 PAGEREF _Toc168108852 h 667.1.6 證書策略對象標識符 PAGEREF _Toc168108853 h 677.1.7 策略限制擴展項的用法 PAGEREF _Toc168108854 h 677.1.8 策略限定符的語法和語義 PAGEREF _Toc168108855 h 677.1.9 關鍵證書策略擴展項的處理規(guī)則 PAGEREF _Toc168108856 h 677.2 證書廢除列表（CRL） PAGEREF _Toc168108857 h 677.2.1 CRL版本號 PAGEREF _Toc168108858 h 677.2.2 CRL和CR

31、L條目擴展項 PAGEREF _Toc168108859 h 677.2.3 CRL下載 PAGEREF _Toc168108860 h 687.3 在線證書狀態(tài)查詢服務（OCSP） PAGEREF _Toc168108861 h 687.3.1 版本號 PAGEREF _Toc168108862 h 687.3.2 OCSP 擴展項 PAGEREF _Toc168108863 h 68第八章認證機構審計與評估 PAGEREF _Toc168108864 h 698.1 審計的頻率與環(huán)境 PAGEREF _Toc168108865 h 698.2 審計者的身份與資質 PAGEREF _Toc1

32、68108866 h 708.3 審計者與TJCA的關系 PAGEREF _Toc168108867 h 708.3.1 審計者與TJCA的關系 PAGEREF _Toc168108868 h 708.3.2 審計報告與TJCA的關系 PAGEREF _Toc168108869 h 708.4 審計內容 PAGEREF _Toc168108870 h 718.5 審計結果 PAGEREF _Toc168108871 h 718.6 不足信息的處理 PAGEREF _Toc168108872 h 71第九章法律責任和其他業(yè)務條款 PAGEREF _Toc168108873 h 729.1 費用

33、PAGEREF _Toc168108874 h 729.1.1 證書簽發(fā)和更新費用 PAGEREF _Toc168108875 h 729.1.2 證書查詢費用 PAGEREF _Toc168108876 h 729.1.3 證書吊銷或狀態(tài)信息的查詢費用 PAGEREF _Toc168108877 h 729.1.4 其他服務費用 PAGEREF _Toc168108878 h 739.1.5 退款策略 PAGEREF _Toc168108879 h 739.2 支付能力 PAGEREF _Toc168108880 h 739.3 商業(yè)信息的保密 PAGEREF _Toc168108881 h

34、 749.3.1 保密的商業(yè)信息 PAGEREF _Toc168108882 h 749.3.2 非保密的商業(yè)信息 PAGEREF _Toc168108883 h 749.4 個人信息的保密 PAGEREF _Toc168108884 h 759.4.1 保密的個人信息 PAGEREF _Toc168108885 h 759.4.2 非保密的個人信息 PAGEREF _Toc168108886 h 759.5 知識產權 PAGEREF _Toc168108887 h 769.6 免責 PAGEREF _Toc168108888 h 769.7 責任范圍 PAGEREF _Toc16810888

35、9 h 779.7.1 TJCA的責任 PAGEREF _Toc168108890 h 789.7.2 注冊機構的職責PAGEREF _Toc168108891 h 789.7.3 注冊分支機構的職責 PAGEREF _Toc168108892 h 799.7.4 受理點的職責 PAGEREF _Toc168108893 h 799.7.5 訂戶的職責 PAGEREF _Toc168108894 h 799.8 有效期和終止 PAGEREF _Toc168108895 h 809.9 爭議解決 PAGEREF _Toc168108896 h 809.10 監(jiān)管和適用的法律 PAGEREF _T

36、oc168108897 h 809.11 其他規(guī)定 PAGEREF _Toc168108898 h 819.11.1 完整協(xié)議 PAGEREF _Toc168108899 h 819.11.2 轉讓 PAGEREF _Toc168108900 h 819.11.3 分割性 PAGEREF _Toc168108901 h 819.11.4 強制執(zhí)行 PAGEREF _Toc168108902 h 829.11.5 不可抗力 PAGEREF _Toc168108903 h 829.11.6 規(guī)則生效 PAGEREF _Toc168108904 h 82第一章總則1.1 概述1.1.1TJCA天津市

37、數(shù)字證書認證中心（Tianjin Digital Certificate Authority Center即TJCA）簡稱TJCA，由天津信息港電子商務有限公司建設并運營，是權威、公正的第三方電子認證服務機構。TJCA嚴格按照中華人民共和國電子簽名法、電子認證管理辦法等法律法規(guī)的要求，向公眾（政府機構、企事業(yè)單位及個人）提供身份認證和信息服務等。TJCA嚴格按照信息產業(yè)部、國家密碼主管部門的各項要求從事認證服務，獲得國家密碼主管部門簽發(fā)的電子認證服務使用密碼許可證，并通過了國家和天津市安全測評部門的安全認證。TJCA電子認證服務業(yè)務規(guī)則由天津信息港電子商務有限公司制定，服從于中國的法律，包括且

38、不限于中華人民共和國刑法、中華人民共和國人大常委會頒發(fā)的關于互聯(lián)網安全防護措施的決定、中華人民共和國計算機安全管理條例、中華人民共和國商用密碼管理條例、中華人民共和國電子簽名法等。從2003年起，TJCA作為專業(yè)的第三方認證服務機構，正式對外提供數(shù)字認證服務。在遵循國際PKI體系標準的基礎上，結合中國的實際情況，對外提供第三方電子認證服務。包括數(shù)字證書的申請、吊銷、查詢、舉證等，以及與此相關的各類實體、角色、程序、組織、條款和法律等。1.1.2電子認證服務業(yè)務規(guī)則（CPS）TJCA、TJCA授權的注冊機構、注冊分支機構、受理點、TJCA授權或協(xié)議的單位等實體，統(tǒng)稱為TJCA認證體系內的實體或T

39、JCA關聯(lián)實體。TJCA認證體系內的實體和TJCA數(shù)字訂戶，必須完整地理解和執(zhí)行TJCA電子認證服務業(yè)務規(guī)則所規(guī)定的條款，承擔相應的責任和義務。TJCA電子認證服務業(yè)務規(guī)則詳細闡述了TJCA實際工作和運行應遵循的各項規(guī)范。電子認證服務業(yè)務規(guī)則作為實際應用和操作的文件依據(jù)，適用于TJCA、TJCA授權機構、TJCA數(shù)字證書簽約單位、TJCA實體內員工、申請證書的單位和個人。作為公告，向社會公布TJCA關于證書服務的基本立場和觀點。在證書有效期內為證書申請者提供相關的咨詢服務。TJCA認證體系中涉及的單位和個人，必須完整理解和準確解釋TJCA電子認證服務業(yè)務規(guī)則的內容。1.2 TJCA標識TJCA

40、是天津市數(shù)字證書認證中心（Tianjin Digital Certificate Authority Center）的縮寫形式。TJCA所擁有的品牌的商標為：1.3 文檔名稱與標識符1.3.1名稱本文檔名稱為電子認證服務業(yè)務規(guī)則，是TJCA對所提供的認證及相關業(yè)務的全面描述。1.3.2發(fā)布本電子認證服務業(yè)務規(guī)則文檔將在TJCA網站上發(fā)布。網址是。1.4 電子認證活動參與者1.4.1電子認證服務機構TJCA和TJCA下層CA統(tǒng)稱為電子認證服務機構。TJCA是所有TJCA下層機構和實體的根。在嚴格保密和安全機制控制下，TJCA根據(jù)根證書有效期的策略，自己生成密鑰對，自己簽發(fā)根證。TJCA根據(jù)授權和

41、協(xié)議簽發(fā)下一級的證書。TJCA將決定在什么時間、什么地點、由什么人監(jiān)督、怎么實施TJCA根密鑰對的更新和切換。TJCA必須建立完善的安全機制，以保證根私鑰的安全性。在時機成熟的時候，TJCA將建立異地備份中心。TJCA所簽發(fā)的證書與每一個證書申領實體的公鑰綁定。TJCA承諾，在有效期內的證書，將采用證書網站和證書黑名單服務（Certificate Revocation List Service），公布該證書可以公開的信息和狀態(tài)。TJCA將根據(jù)業(yè)務需要，與TJCA服務框架體系中未涉及的其他電子認證服務機構建立交叉認證關系。交叉認證是指兩個完全獨立的，采用各自認證策略的證書認證中心建立相互信任關系

42、，從而使雙方的客戶可以實現(xiàn)互相認證。當TJCA需要建立與某CA交叉認證關系時，即信任某電子認證服務機構發(fā)放的證書，TJCA將審查該電子認證服務機構目前已在執(zhí)行的證書業(yè)務相關文件、承諾以及操作規(guī)程。所有信任TJCA的機構，如果要接受與TJCA建立交叉認證關系的CA所發(fā)放的證書，必須自行檢查該CA的業(yè)務聲明及其他證書業(yè)務相關的文件。交叉認證并不表示TJCA批準了或賦予了其他獨立電子認證服務機構的任何權力。1.4.2注冊審批機構（Registration Authority）注冊審批機構作為電子認證服務機構授權委托的下屬機構，負責訂戶信息的審核、整理匯總、統(tǒng)計分析、與上級CA進行數(shù)據(jù)交換、管理和服務

43、下層注冊分支機構和下層受理點。每個注冊機構可以按照行業(yè)或行政地域分成多個注冊分支機構或直接連接受理點，可以直接對最終訂戶提供服務。注冊機構可以根據(jù)客戶群體的發(fā)展需要，遵循TJCA認證體系地域或行業(yè)的劃分情況，授權建立相應的受理點或注冊分支機構。注冊機構有責任不將客戶的數(shù)據(jù)透露給與證書申請無關的任何單位或個人，不允許用于牟取商業(yè)利益。注冊機構必須獲得電子認證服務機構的授權。地區(qū)、行業(yè)、機構均可以申請成為TJCA的注冊機構。注冊機構性質包含授權、品牌、獨立法人等。注冊機構（RA）作為電子認證服務機構授權委托的證書服務注冊受理機構，負責訂戶信息的審核、整理匯總、統(tǒng)計分析、與CA機構進行數(shù)據(jù)交換、管理

44、和服務下屬分支機構，包括分理中心（RAB）和下屬受理點(RAT)等。每個RA可以按照行業(yè)、行政地域或其他因素分成多個RAB，或直接連接RAT，對最終訂戶提供服務。RA應遵循本CPS以及TJCA的授權，建立相應的RAB或RAT。RA有責任妥善保存訂戶的申請信息，不允許將訂戶的申請信息透露給與證書申請無關的任何單位或個人，不允許用于牟取商業(yè)利益。RA必須獲得TJCA及其子CA的授權，根據(jù)授權從事各類證書服務，并依據(jù)授權拓展相應的下級服務機構。地區(qū)、行業(yè)、機構等均可以申請成為TJCA架構內的注冊機構。1.4.3注冊分支機構（Registration Authority Branch）與注冊機構功能類

45、似。當注冊機構服務的群體超過一定限度時，在注冊機構下面設注冊分支機構。注冊分支機構的上級是注冊機構，下級是受理點。注冊分支機構由注冊機構或電子認證服務機構授權建立或撤消。注冊分支機構是可選項，即根據(jù)客戶群體大小決定是否設注冊分支機構。注冊分支機構性質包含授權、品牌、獨立法人等。1.4.4受理點（Business Terminal）經過TJCA審查，TJCA授權特定單位或實體，負責辦理和審批數(shù)字證書申請。數(shù)字證書申請手續(xù)、過程和要求，必須與TJCA正在實施的電子認證服務業(yè)務規(guī)則以及TJCA的CA受理點授權協(xié)議書一致。受理點負責向TJCA授權的注冊機構或TJCA授權的注冊分支機構提供證書申請實體的

46、信息，包括申請實體的名稱、可以表明身份的證件號碼和聯(lián)系方法（通信地址、電子郵箱、電話等）。受理點根據(jù)這些信息為申請實體制作證書或根據(jù)申請實體的要求為申請實體自行申請?zhí)峁┘夹g支持。1.4.5 訂戶（Subscriber）訂戶包括個人、單位、服務器、網站等提供網上服務和享受網上服務的各種實體，以及其他持有TJCA各類證書的人、物或單位組織。1.4.6 信任體（Relying Party）在TJCA證書服務體系范圍內，用證書進行網上作業(yè)的訂戶稱為TJCA的信任體。信任體必須是TJCA證書服務體系中訂戶，享有相應的利益，包括TJCA可能提供的證書保障，以及TJCA電子認證服務業(yè)務規(guī)則中涉及的權益。1.

47、4.7證書申請者（Certificates Applicant）證書申請者是請求TJCA頒發(fā)證書的個人、企業(yè)和組織機構。每一個期望作為TJCA或其下級操作子CA的證書訂戶的實體，都可以成為TJCA的證書申請者，根據(jù)其想要獲得的證書類型，按照本CPS的規(guī)定提供必要的信息，完成申請過程。如果證書申請者不能提供TJCA所需的信息，其申請過程將延遲或終止。一經提交證書申請，所有的證書申請者就已授權TJCA可進行安全問題的調查。所有這些調查必須符合相關的隱私權和相關法律法規(guī)的要求，申請人同意協(xié)助TJCA采用后者認為適當?shù)牟⑴c本CPS一致的方式，來確定所有的事實、發(fā)生環(huán)境和其他相關信息。如果該證書申請經過

48、了發(fā)證機構的所有必要鑒別程序并鑒別合格，TJCA將依照本CPS的規(guī)定為申請者簽發(fā)一份證書，以證明已經批準了申請者的證書申請。如果申請者未能成功通過鑒別，TJCA將拒絕申請者的證書申請，并通知申請者鑒別失敗，同時向申請者提供失敗的原因（法律禁止的除外）。被拒絕的證書申請者可再次提出申請。TJCA內的發(fā)證機構只有在經過證書申請者的同意后才簽發(fā)證書。證書申請者一旦提交了證書申請，盡管事實上還沒有接受證書，但仍被視為該訂戶已同意接受發(fā)證機構為其簽發(fā)證書。同時，發(fā)證機構可以根據(jù)其獨立判斷，拒絕給任何主體簽發(fā)證書，并且不對因此導致的任何損失或費用承擔任何責任和義務。1.4.8其他參與者（Other Par

49、ticipants）為以上未提及的隸屬于TJCA證書體系的實體，如網站提供者等與PKI服務相關的參與者。1.5 證書應用1.5.1適合的證書應用TJCA數(shù)字證書目前已經在電子政務公共服務、電子交易、電子辦公、電子公證、公共服務等領域應用，為建設互聯(lián)網絡的信任環(huán)境開展了基礎性的服務。證書申請者可以根據(jù)實際需要，自主判斷和決定采用相應合適的證書種類。TJCA及其操作子CA簽發(fā)的證書，從功能上可以滿足下列安全需要：身份認證-保證采用TJCA信任服務的訂戶身份的真實性。驗證信息完整性-保證采用TJCA證書和數(shù)字簽名時，可以驗證信息在傳遞過程中是否被篡改，發(fā)送和接收的信息是否完整一致。驗證數(shù)字簽名-對信

50、任體交易不可抵賴性的依據(jù)即數(shù)字簽名進行驗證。必須指出，對于任何電子通信或交易，不可抵賴性應根據(jù)法律和爭議解決辦法裁定。保證機密性-機密性保證傳送方和接收方信息的機密，不會被泄露給其他未經合法授權方。但TJCA對機密性事件沒有承擔相應責任的義務。在TJCA中，TJCA目前支持兩種不同信任等級的訂戶證書：正式證書和測試證書。正式證書的申請者必須通過規(guī)定的物理身份認證和TJCA需要的鑒別程序，有效期一般為1年。測試證書有效期一般不超過3個月。涉及證書簽發(fā)、申請、受理、操作、管理、使用的單位和個人，應熟悉本CPS中的術語、條件、需求、建議以及權益等內容。證書申請者、訂戶和依賴方等各類主體可以根據(jù)實際需

51、要，自主判斷和決定采用相應合適的證書類型，以及了解證書的應用類型、應用范圍，選擇自己的應用方式。除非在本CPS中特別聲明，TJCA沒有義務承擔任何因使用證書產生的額外的經濟賠償責任。1.5.2限制的證書應用證書禁止在任何違反國家法律、法規(guī)或破環(huán)國家安全的情形下使用，否則由此造成的法律后果由訂戶自己承擔。1.6 策略管理1.6.1策略文檔管理機構根據(jù)中華人民共和國電子簽名法、電子認證服務管理辦法和電子認證服務業(yè)務規(guī)則規(guī)范的要求，TJCA制定本電子認證服務業(yè)務規(guī)則（CPS），并指定專門的機構TJCA認證委員會作為策略的最高管理機構。TJCA認證委員會作為TJCA框架內第三方電子認證服務所有策略的最

52、高管理機構，由TJCA召集管理人員、PKI技術人員和法律顧問組成，負責審核批準CPS，并作為CPS實施檢查監(jiān)督的最高決定機構。TJCA安全管理部作為CPS的工作機構，負責起草CPS并根據(jù)要求提出修改報告，并負責此方面的對外咨詢服務。1.6.2決定本CPS符合策略的機構作為電子認證業(yè)務的主管部門，信息產業(yè)部發(fā)布了電子認證服務業(yè)務規(guī)則規(guī)范，TJCA根據(jù)規(guī)范的要求，制定本電子認證服務業(yè)務規(guī)則（CPS），并提交信息產業(yè)部備案。TJCA保證其制訂和發(fā)布的CPS，其執(zhí)行、解釋、翻譯和有效性均符合和適用于中華人民共和國的法律規(guī)定。安全管理部作為認證服務策略的工作部門，負責本CPS實施的日常監(jiān)督檢查，保證TJ

53、CA內的運行符合本CPS的要求。1.6.3 公告所有公告和通知將在TJCA網站上公布。TJCA網站地址： HYPERLINK 。1.6.4認證業(yè)務規(guī)則的變更和發(fā)布TJCA有權對TJCA電子認證服務業(yè)務規(guī)則（CPS）進行預期或非預期的修改。修改過的電子認證服務業(yè)務規(guī)則，將根據(jù)電子認證服務管理辦法的要求，在規(guī)定的時間內向信息產業(yè)部進行備案。在本CPS作出任何變動之前，TJCA認證委員會將對安全管理部提供的變更建議報告進行研究，最終作出是否變更的決定。TJCA將在決定形成決議后，在TJCA網站公布變更后的CPS。對本CPS所做的修改將于TJCA發(fā)布之日起立即生效，所進行的修改將取代以往CPS各版本中

54、的任何沖突和指定條款。TJCA將對本CPS進行嚴格的版本控制。所有修改在TJCA網站上公布。1.7 定義與縮寫1.7.1TJCA天津市數(shù)字證書認證中心（Tianjin Digital Certificate Authority Center即TJCA）簡稱TJCA，由天津信息港電子商務有限公司建設并運營，是權威、公正的第三方電子認證服務機構。1.7.2TJCA認證委員會TJCA體系內的最高策略管理監(jiān)督機構和本CPS一致性決定機構。1.7.3電子認證服務機構（Certificate Authority，CA）TJCA及授權的下級操作子CA稱為電子認證服務機構，也就是證書認證機構，是頒發(fā)證書的實體

55、。1.7.4注冊機構（Registration Authority，RA）負責處理證書申請者和訂戶的服務請求，并將其提交給認證服務機構，為最終證書申請者建立注冊過程的實體，負責對證書申請者進行身份標識和鑒別，發(fā)起或傳遞證書吊銷請求，代表電子認證服務機構批準更新證書或更新密鑰的申請。1.7.5注冊分支機構CA注冊分支機構。與TJCA簽署注冊分支機構協(xié)議，被TJCA授權發(fā)行TJCA證書的代理機構，隸屬于注冊機構。功能同CA注冊機構。1.7.6受理點與TJCA簽署受理點協(xié)議，被TJCA授權發(fā)行TJCA證書的代理機構。1.7.7發(fā)證機構包含TJCA授權的注冊機構、注冊分支機構、受理點證書發(fā)放機構。發(fā)證

56、機構為證書申請者發(fā)放TJCA證書。1.7.8TJCA數(shù)字證書簽發(fā)系統(tǒng)為TJCA證書申請者簽發(fā)、管理數(shù)字證書的軟件系統(tǒng)。1.7.9TJCA災難恢復策略TJCA災難恢復策略指TJCA在災難發(fā)生時執(zhí)行的計劃和程序，可以由TJCA獨立的審查員或管理者驗證。1.7.10 訂戶（Subscriber）訂戶包括個人、單位、服務器、網站等提供網上服務和享受網上服務的各種實體，以及其他持有TJCA各類證書的人、物或單位組織。1.7.11 證書申請者證書申請者（Certificate Applicant）請求TJCA頒發(fā)證書的個人、企業(yè)、組織機構。1.7.12 證書申請 由證書申請者提交給TJCA的請求，TJCA

57、根據(jù)此請求為訂戶頒發(fā)證書。1.7.13 證書口令 證書口令指證書中私鑰的保護口令。1.7.14 證書序列號 唯一標識證書的32位字母組合。1.7.15 甄別名 甄別名（Distinguished Name）簡稱DN，包含訂戶的主題信息。1.7.16 通用名稱 通用名稱（Common Name）簡稱CN，甄別名中的一項。1.7.17 密碼管理中心 密碼管理中心簡稱KMC，負責密鑰的產生、存儲、歸檔等管理工作。1.7.18 OCSPOCSP（Online Certificate Status Protocol），即在線查詢數(shù)字證書狀態(tài)協(xié)議，用于支持實時查詢數(shù)字證書狀態(tài)。1.7.19 LDAPLDA

58、P（Lightweight Directory Access Protocol），即輕量級目錄訪問協(xié)議，用于查詢、下載數(shù)字證書以及數(shù)字證書廢止列表（CRL）。1.7.20 PKIPKI（Public Key Infrastructure），公開密鑰基礎設施。1.7.21 CRLCRL（Certificate Rovocation List），即數(shù)字證書廢止列表的英文簡稱。CRL中記錄所有在原定失效日期到達之前被廢止的數(shù)字證書的訂戶數(shù)字證書序列號，供數(shù)字證書使用者在認證對方數(shù)字證書時查詢使用。CRL 通常又被稱為數(shù)字證書黑名單。內容通常還包含列表發(fā)行人的姓名、發(fā)行日期、下次廢止列表的預定發(fā)行日期

59、、遭更新或廢止的數(shù)字證書序號，并說明遭更新或廢止的時間與理由。聲明了主體的名字或簽發(fā)中心的身份，確定簽名者的身份，包括簽名者的公開密鑰，表明了數(shù)字證書的操作時限，還包括數(shù)字證書的序列號。1.7.22 認證 認證（Certification）指不同實體在進行網上交易之前，通過可信賴的、中立的第三方（如TJCA）對身份進行審核，并由第三方出具證明證實其身份的可靠性和合法性的過程。1.7.23 數(shù)字證書數(shù)字證書是一種電子認證服務機構簽發(fā)的電子文件。本CPS中提及的數(shù)字證書，包括簽名證書和加密證書。1.7.24 數(shù)字簽名通過使用非對稱密碼加密系統(tǒng)對電子數(shù)據(jù)進行加密、解密變換來實現(xiàn)的一種電子簽名。本CP

60、S中提及的簽名為數(shù)字簽名。1.7.25 電子簽名電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。1.7.26 私人密鑰私人密鑰（Private Key），是一種不能公開、由持有者秘密保管的數(shù)字密鑰，用于創(chuàng)建電子簽名、解密報文或與相應的公開密鑰一起加密機要文件等。1.7.27 公開密鑰公開密鑰（Public Key），可以公開的數(shù)字密鑰，用于驗證相應的私人密鑰簽名的報文，也可以用來加密報文、文件，由相應的私人密鑰解密等。1.7.28 簽名密鑰對包含一對私人密鑰和公開密鑰。主要用于訂戶的簽名和驗證。證書申請者申請證書時一般由客戶端或服務器端產生。1.7