电子证照怎么办理流程(电子证照之法律法规)
电子证照怎么办理流程(电子证照之法律法规)国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准(GB)、行业标准(GM)。国家建立和完善商用密码标准体系。一、中华人民共和国密码法根据《中华人民共和国密码法》,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。1.商用密码标准体系
上一篇文章介绍了电子证照相关的国家标准,本文继续介绍相关法律法律、部门规章。
根据《电子证照 总体技术架构》(GB/T 36901-2018),电子证照文件是指以版式文档表示的电子证照,该文件既包含照面固定版式效果,又包含证照元数据及标识,并应用密码技术保障这些内容的真实性和完整性。
根据《电子证照 文件技术要求》(GB/T 36905-2018),电子证照以版式电子文件形态表示,应满足如下要求:使用OFD文件格式;一个文件内只包含一个证照;包含电子证照基础元数据和电子证照标识;包含数字签名或电子签章等内容;
上述标准对电子证照文件定义涉及密码技术、数字签名,在《中华人民共和国密码法》、《中华人民共和国电子签名法》中对密码技术、数字签名有明确规定。
一、中华人民共和国密码法
(2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过,自2020年1月1日起施行。)根据《中华人民共和国密码法》,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。
1.商用密码标准体系
国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准(GB)、行业标准(GM)。
经查询行业标准信息服务平台,商用密码的行业标准代码为GM,技术归口单位为:密码行业标准化技术委员会(官方网站:www.gmbz.org.cn/),批准发布部门为:国家密码管理局(官方网站:www.oscca.gov.cn)。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
2.商用密码检测认证体系
国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。
商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
2020年05月11日,市场监管总局、国家密码管理局关于发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》的公告,将22种产品列入了第一批商用密码产品认证目录,并发布了商用密码产品认证规则。
商用密码产品认证目录(第一批)|
No. |
产品 种类 |
产品描述 |
认证依据 |
|
1 |
智能密码钥匙 |
实现密码运算、密钥管理功能的终端密码设备,一般使用USB 接口形态。 |
GM/T 0027《智能密码钥匙技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
2 |
智能IC 卡 |
实现密码运算和密钥管理功能的含 CPU(中央处理器)的集成电路卡,包括应用于金融等行业领域的智能 IC 卡。 |
GM/T 0041《智能 IC 卡密码检测规范》 GM/T 0028《密码模块安全技术要求》 |
|
3 |
POS密码应用系统 ATM密码应用系统多功能密码应用互联网终端 |
为金融终端设备提供密码服务的密码应用系统。 |
GM/T 0028《密码模块安全技术要求》 JR/T 0025-2018《中国金融集成电路(IC)卡规范第 7 部分:借记贷记应用安全规范》 |
|
4 |
PCI-E/PCI 密码卡 |
具有密码运算功能和自身安全保护功能的PCI硬件板卡设备。 |
《PCI 密码卡技术规范》 GM/T 0018《密码设备应用接口规范》 GM/T 0028《密码模块安全技术要求》 |
|
5 |
IPSec VP N 产品/ 安全网关 |
基于IPSec 协议,在通信网络中构建安全通道的设备。 |
IPSec VPN 产品: GM/T 0022《IPSec VPN 技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
IPSec VPN 安全网关: GM/T 0023《IPSec VPN 网关产品规范》 GM/T 0028《密码模块安全技术要求》 | |||
|
6 |
SSL VPN产品/安全网关 |
基于SSL/TLS 协议,在通信网络中构建安全通道的设备。 |
SSL VPN 产品: GM/T 0024《SSL VPN 技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
SSL VPN 安全网关: GM/T 0025《SSL VPN 网关产品规范》 GM/T 0028《密码模块安全技术要求》 | |||
|
7 |
安全认证网关 |
采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务的设备。 |
GM/T 0026《安全认证网关产品规范》 GM/T 0028《密码模块安全技术要求》 |
|
8 |
密码键盘 |
用于保护PIN输入安全并对PIN进行加密的独立式密码模块。包括 POS 主机等设备的外接加密密码键盘和无人值守(自助)终端的加密 PIN 键盘。 |
GM/T 0049《密码键盘密码检测规范》 GM/T 0028《密码模块安全技术要求》 |
|
9 |
金融数据密码机 |
用于确保金融数据安全,并符合金融磁条卡、IC 卡业务特点的,主要实现 PIN 加密、PIN 转加密、 MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。 |
GM/T 0045《金融数据密码机技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
10 |
服务器密码机 |
能独立或并行为多个应用实体提供密码运算、密钥管理等功能的设备。 |
GM/T 0030《服务器密码机技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
11 |
签名验签服务器 |
用于服务端的,为应用实体提供基于 PKI 体系和数字证书的数字签名、验证签名等运算功能的服务器。 |
GM/T 0029《签名验签服务器技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
12 |
时间戳服务器 |
基于公钥密码基础设施应用技术体系框架内的时间戳服务相关设备。 |
GM/T 0033《时间戳接口规范》 GM/T 0028《密码模块安全技术要求》 |
|
13 |
安全门禁系统 |
采用密码技术,确定用户身份和用户权限的门禁控制系统。 |
GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》 |
|
14 |
动态令牌 动态令牌认证系统 |
动态令牌:生成并显示动态口令的载体。 动态令牌认证系统:对动态口令进行认证,对动态令牌进行管理的系统。 |
动态令牌: GM/T 0021《动态口令密码应用技术规范》 GM/T 0028《密码模块安全技术要求》 |
|
动态令牌认证系统: GM/T 0021《动态口令密码应用技术规范》 | |||
|
15 |
安全电子签章系统 |
提供电子印章管理、电子签章/验章等功能的密码应用系统。 |
GM/T 0031《安全电子签章密码技术规范》 |
|
16 |
电子文件密码应用系统 |
在电子文件创建、修改、授权、阅读、签批、盖章、打印、添加水印、流转、存档和销毁等操作中提供密码运算、密钥管理等功能的应用系统。 |
GM/T 0055《电子文件密码应用技术规范》 |
|
17 |
可信计算密码支撑平台 |
采取密码技术,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。 |
GM/T 0011《可信计算密码支撑平台功能与接口规范》 GM/T 0012《可信计算可信密码模块接口规范》 GM/T 0058《可信计算 TCM 服务模块接口规范》 GM/T 0028《密码模块安全技术要求》 |
|
18 |
证书认证系统 证书认证密钥管理系统 |
证书认证系统:对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。 证书认证密钥管理系统:对生命周期内的加密证书密钥对进行全过程管理的系统。 |
GM/T 0034《基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范》 |
|
19 |
对称密钥管理产品 |
为密码应用系统生产、分发和管理对称密钥的系统及设备。 |
GM/T 0051《密码设备管理对称密钥管理技术规范》 |
|
20 |
安全芯片 |
含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。 |
GM/T 0008《安全芯片密码检测准则》 |
|
21 |
电子标签芯片 |
采用密码技术,载有与预期应用相关的电子识别信息,用于射频识别的芯片。 |
GM/T 0035.2《射频识别系统密码应用技术要求第 2 部分:电子标签芯片密码应用技术要求》 |
|
22 |
其他密码模块 |
实现密码运算、密钥管理等安全功能的软件、硬件、固件及其组合,包括软件密码模块、硬件密码模块等。 |
GM/T 0028《密码模块安全技术要求》 |
商用密码产品认证实行统一的认证标志管理。
3.商用密码电子认证服务机构认定
国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。电子认证服务使用密码许可、电子政务电子认证服务机构认定、商用密码产品质量检测机构审批相关办理要求可从国家密码管理局网站获取。
二、中华人民共和国电子签名法
(2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过,自2005年4月1日起施行。根据2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议《关于修改〈中华人民共和国电力法〉等六部法律的决定》第一次修正 根据2019年4月23日第十三届全国人民代表大会常务委员会第十次会议《关于修改〈中华人民共和国建筑法〉等八部法律的决定》第二次修正)
1.电子签名要求
电子签名(数字签名),是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
2.电子认证服务提供者要求
电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。提供电子认证服务 应当具备下列条件:
(一)取得企业法人资格;
(二)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(三)具有与提供电子认证服务相适应的资金和经营场所;
(四)具有符合国家安全标准的技术和设备;
(五)具有国家密码管理机构同意使用密码的证明文件;
(六)法律、行政法规规定的其他条件。
从事电子认证服务 应当向国务院信息产业主管部门提出申请 并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查 征求国务院商务主管部门等有关部门的意见后 自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的 颁发电子认证许可证书;不予许可的 应当书面通知申请人并告知理由。
取得认证资格的电子认证服务提供者 应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
电子认证服务提供者签发的电子签名认证证书应当准确无误 并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
三、电子认证服务密码管理办法
(2009年10月28日国家密码管理局公告第17号公布,根据2017年12月1日
《国家密码管理局关于废止和修改部分管理规定的决定》修正)
采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。提供电子认证服务 应当申请《电子认证服务使用密码许可证》。
