一、任務來源

根據國家標準化管理委員會2011年下達的國家標準制修訂計劃，國家標準《信息安全

技術公鑰基礎設施數字證書策略分類分級規范》由中科院數據與通信保護研究教育中心負

責主辦，標準計劃號為20111618-T-469（全國信息安全標準化技術委員會2010年信息安

全專項）。

二、編制原則

本標準參照了國家標準《GB/T20518-2006信息安全技術公鑰基礎設施數字證書格

式》和《GB/T26855-2011信息安全技術公鑰基礎設施證書策略與認證業務聲明框架》、

國外公司證書策略文檔以及國內各CA公司證書策略相關文檔，根據國內數字證書技術的發

展需要，基于多方調研、征求意見后而制定的。

三、主要工作過程

(一)標準制定的主要工作過程如下：

1)2010年4月，本標準得到全國信息安全標準化技術委員會“2010年國家信息安全戰略

研究與標準制定工作”專項任務《數字證書策略分級分類規范》的支持，組織了以荊繼武教

授為組長的編制組，進行了廣泛的資料調查和充分的研究。

2)2009年10月1日至2010年6月30日，本標準得到中華人民共和國工業和信息化部

“證書策略分級體系研究”課題支持，調研國內外證書策略體系及應用現狀，分析國內相關

要求；多次參加工信部組織的專家會，探討證書策略體系的構建；參加《基線證書策略》意

見征詢會，聽取國內各CA公司的建議，并進行了處理，最終完成《證書策略分級體系研究

報告》、《電子認證服務基線證書策略釋疑》和《電子認證服務通用證書策略》。

3)2010年7月至2011年8月，編制組內分析、討論和修改完善已有證書策略文檔，并

綜合上述成果，依據國家標準寫作要求，形成《數字證書策略分級分類規范》標準草案。

4)2011年8月12日，WG3、WG4工作組專家對本標準情況進行了審查，共提出13條

建議。編制組成員分析討論專家意見后，進行了相應的修改。

5)2011年12月16日，WG4工作組專家對本標準情況進行審查，共提出6條建議。編制

組成員分析討論專家意見，并進行相應修改。

6)2013年5月23日，標準草案在WG4工作組內部征求意見，13家單位一致通過。

7)2013年6月4日－6月30日，送7個部門（安標委副主任單位）征求意見，并面向社

會在安標委TC260網站上對標準征求意見稿征求意見，收到4個部門反饋意見。

8)2013年7月24日，信安標委秘書處邀請專家集中對標準文本進行修改，根據專家意見

進行修改后，形成送審稿。

(二)標準征求意見的落實情況如下：

1)發送《標準草案稿》的單位包括安標委網站（征求意見）、工作組專家（評審）、全

體工作組成員（投票）；回函的單位數為全體工作組成員，有建議或意見的單位數共計7個；

1

沒有回函的單位數為0個。

2)發送《征求意見稿》的單位包括安標委副主任單位（8大部門）、安標委網站（征

求意見）；回函的單位數為4個；有建議或意見的單位數為4個；沒有回函的單位數為3個。

四、標準的主要內容及確定內容的依據

目前，我國的電子認證服務機構簽發的數字證書均未包含證書策略的內容，即在證書

中沒有說明公鑰可以應用在什么場景，適用于什么樣的安全需求。這導致了證書的使用者對

于證書的用途十分茫然，限制了數字證書的廣泛應用。另外，由于缺乏數字證書使用范圍或

質量的標準，各電子認證服務機構證書簽發的安全措施（如：證書簽發過程中的身份鑒別、

物理設備安全、責任和賠付等）也存在較大差距。這種不一致導致了證書依賴方的許多困惑，

阻礙了數字證書的跨區域跨行業應用，限制了應用程序直接獲得證書的安全信息，對證書進

行自動地驗證。而標準化的證書策略能夠使用戶清晰地認識到證書的質量和安全通途，方便

應用系統的開發設計。因此，對證書策略進行規范和標準化，是推進電子商務、電子政務系

統之間互聯互通的重要一步。

通過證書策略的標準化，設計數字證書策略的分級分類規范，可以為電子認證服務市

場規劃出分級的、多層次的服務質量體系，為不同應用系統實現適度的安全服務，從而促進

電子認證服務機構之間的良性競爭，提升服務質量，推動電子認證服務市場的有序發展。另

外，隨著證書策略的分級分類逐步的實施，也可以促進電子認證服務機構評估和許可工作的

規范化，即審查電子認證服務機構是否真正地按照其證書策略要求的規范來運營，是否提供

相應的安全保障，這也是構建證書策略分級分類體系的重要意義。

國家標準《GB/T26855-2011信息安全技術公鑰基礎設施證書策略與認證業務聲明

框架》中規范了證書策略中的內容，包括導言、信息發布和證書資料庫職責、身份標識與鑒

別、證書生命周期操作要求、設施、管理和運作控制、技術安全控制、證書、證書撤銷列表

和在線證書狀態協議、合規性審計和相關評估、其它商業和法律事宜，共9部分內容。本

標準根據標準寫作規范，加入了范圍、規范性引用文件、術語和定義、縮略語4部分內容，

同時將證書策略文檔中的導言加入到范圍部分，形成了如下12部分的內容框架：

1范圍

2規范性引用文件

3術語和定義

4縮略語

5概述

6信息發布和證書資料庫職責

7身份標識與鑒別

8證書生命周期操作要求

9設施、管理和運作控制

10技術安全控制

11證書、證書撤銷列表和在線證書狀態協議

12合規性審計和相關評估

13其它商業和法律事宜

五、與相關法律法規及國家有關規定、國內相關標準的關系

本標準符合現有法律法規。國家標準《GB/T26855-2011信息安全技術公鑰基礎設

施證書策略與認證業務聲明框架》規范了數字證書策略文檔的結構和內容，而本標準是對

證書策略進行了分類分級，即規范不同級別的證書策略文檔中各個部分應滿足的具體要求。

六、有關專利的說明

本標準不涉及專利