《信息安全技术 基于数字证书的可靠电子签名生成及验证技术要求》编制说明

一、任务来源及编制单位

根据国家标准化管理委员会下达的国家标准制修订计划，国家标准《信息安全技术公

钥基础设施基于数字证书的可靠电子签名生成及验证技术要求》由中国电子信息产业发展

研究院牵头起草，标准计划号是20130326-T-469，技术归口单位是全国信息安全技术标准

委员会。

标准编制单位由中国电子信息产业发展研究院、北京数字认证股份有限公司、上海格尔

软件股份有限公司组成。中国电子信息产业发展研究院是工信部直属的国家一级科研事业单

位，在信息产业与信息化等研究领域具有丰富的经验和雄厚的实力；院下属的信息安全研究

所是中国电子认证服务产业联盟秘书处的具体承担单位，多年来致力于信息安全、电子认证

研究工作。北京数字认证股份有限公司是国内较早成立和规模最大的电子认证服务机构之一，

拥有完善的电子认证产品体系、专业人才队伍和深厚的技术积累。上海格尔软件股份有限公

司是商用密码产品定点生产与销售单位，在国内较早研制和推出电子认证软硬件产品，是全

国信息安全标准化技术委员会的核心成员单位。三家单位都曾牵头或参与过多项标准制定工

作。

二、编制目的和意义

为贯彻落实《中华人民共和国电子签名法》，实现《电子认证服务业“十二五”发展规

划》目标和任务，促进可靠电子签名的应用普及，推动电子认证服务业的健康有序发展，依

据《中华人民共和国电子签名法》对可靠电子签名的相关规定，编制《基于数字证书的可靠

电子签名生成及验证技术要求》。

编制意义主要体现在以下三个方面：

一是贯彻落实《中华人民共和国电子签名法》的重要途径。《中华人民共和国电子签名

法》规定只有可靠电子签名具有与手写签名同等的法律效力，并明确数据电文作为证据必须

确保生成、存储或传递数据电文的方法的可靠性、保持内容完整性的方法的可靠性、用以鉴

1

别发件人的方法的可靠性等。如何从技术上保证电子签名是可靠的，如何确保数据电文生成、

传递、接收、保存、提取、鉴定等各环节是可靠的，是目前亟待解决的问题。按照《中华人

民共和国电子签名法》对可靠电子签名和数据电文的相关要求，研究制定《基于数字证书的

可靠电子签名生成及验证技术要求》，是贯彻落实《中华人民共和国电子签名法》的重要途

径。

二是构建网络信任体系的根本保障。随着经济社会活动对网络依赖性不断提高，建立网

络秩序，营造可信、安全的网络空间的需求日益迫切。当前，电子商务、电子政务等领域都

提出了应用可靠电子签名的要求，同时诸如电子合同、电子凭证、电子记录等应用中都要求

确保数据电文的可靠性。网络身份认证、行为责任认定、资源权属维护、交易风险防范、交

易纠纷仲裁已经成为网络用户关注的焦点。研究和制定《基于数字证书的可靠电子签名生成

及验证技术要求》，可为实现网络行为的追踪与管理、为保障权益、追究责任提供重要依据，

是构建网络信任体系的基础和保障。

三是推广可靠电子签名应用的有力支撑。目前，电子商务、电子政务等对可靠电子签名

应用需求的不断增长与可靠电子签名标准规范缺乏的矛盾越来越突出。通过开展《基于数字

证书的可靠电子签名生成及验证技术要求》的研究，初步形成可靠电子签名生成及验证规范

和流程，促进可信电子合同、可信电子凭证、可信电子记录等应用技术取得突破性进展，为

电子取证、司法鉴定和法律诉讼提供支持，为可靠电子签名和可信数据电文的推广应用奠定

基础。

三、编制原则

本标准属于信息安全技术要求类的标准，以自主编写的方式完成。标准紧扣《中华人民

共和国电子签名法》规定的可靠电子签名应同时符合的四项条件，结合我国对密码技术和产

品以及电子认证服务业的监管规定进行编制，为基于数字证书可靠电子签名相关系统、应用

的开发提供指导，为相关产品、服务标准的制定提供参考。

2

四、主要工作过程

《基于数字证书的可靠电子签名生成及验证技术要求》课题始于2012年4月，标准编

制期间召开了3次10名以上专家参会的大型研讨会，十余次小型研讨会，电话、邮件沟通

讨论百余次，根据研讨结果进行了几次较大规模的修订和反复的推敲琢磨。参与标准编制和

研讨的专家超过30人，主要来自工业和信息化部、国家密码管理局、国家信息技术安全研

究中心、国家信息中心、中国科学院、中国电子技术标准化研究院、工业和信息化部电子工

业标准化研究院、北京数字证书认证中心、上海格尔软件股份有限公司、中国金融认证中心、

东方新诚信数字认证中心、北京天威诚信电子商务服务有限公司等。编制过程主要分为三个

阶段：

（一）课题启动

经过前期调研，2012年4月，《基于数字证书的可靠电子签名生成及验证技术要求》标

准项目上报全国信息安全标准化技术委员会；2012年12月，全国信息安全标准化技术委

员会批准立项，所属工作组为WG4。

（二）编制初稿

2013年1月，开始初稿编制工作。参考的国外标准主要包括欧洲电信标准化协会的

《CMS高级电子签名》、《发放合格证书的证书认证机构策略要求》以及欧洲标准委员会的

《签名生成应用程序安全需求》、《电子签名验证通用指南》、《作为安全签名生成设备的智能

卡应用接口》、《管理电子签名证书的可信系统安全要求》等，参考的国内标准主要包括《数

字证书格式》、《时间戳规范》、《电子签名格式规范》、《签名生成应用程序的安全要求》等。

三家起草单位首先各自编制初稿，通过多次共同研究和反复讨论，2013年7月，三份初稿

合并形成统一的标准初稿。

（三）标准修订

标准初稿完成后，编制组分别于2013年7月、11月和2014年3月组织召开了3次大

3

型研讨会及多次小型研讨会，征求专家意见。编制组充分吸取各方专家意见，对标准反复讨

论，多次修订，2014年4月，形成较为完善成熟的修订稿，并得到专家的肯定。2014年6

月15日，全国信息安全标准化技术委员会WG4工作组召开组内评审会议，对标准进行了

评审，编制组按照评审专家给出的修改意见对标准进行了修改。2014年7月11日，全国

信息安全标准化技术委员会组织对项目进行中期评审，编制组根据专家意见对标准进行了修

改，形成标准草案再次提交WG4工作组。2015年3月7日，全国信息安全标准化技术委

员会WG4工作组召开专家审查会，专家组同意该标准（草案）通过审查。会后编制组对专

家意见进行汇总处理，提交WG4工作组成员单位进行征求意见和表决。2015年9月9日，

收到WG4工作组反馈的征求意见，编制组对征求意见进行汇总处理，形成征求意见稿，进

行网上公开征求意见。

五、标准的主要内容

（一）本标准的主要内容

《基于数字证书的可靠电子签名生成及验证技术要求》主要包括以下几个方面的内容：

1.可靠电子签名生成及验证系统架构

通过对可靠电子签名生成及验证逻辑框架的分析，明确可靠电子签名生成与验证过程涉

及的对象，确定实现可靠电子签名需要对六个方面提出要求或规定：电子认证服务提供者、

签名人身份、电子签名相关数据、电子签名生成设备、电子签名生成过程与应用程序、电子

签名验证过程与应用程序。

2.电子认证服务提供者的要求

电子认证服务提供者CSP应提供证书注册、证书生成、证书发布、证书撤销、时间戳

等电子认证服务并满足安全要求。

3.签名人身份的要求

4

签名者需要拥有真实的实体身份，其身份的真实性由电子认证服务提供者进行鉴证。

4.电子签名相关数据的要求

电子签名相关数据的要求包括待签数据的要求和电子签名数据格式的要求。待签数据包

括签名人文件和签名属性，电子签名数据格式应符合GB/T25064-2010的要求。

5.电子签名生成设备的要求

电子签名生成设备应使用安全签名生成设备。电子签名生成设备的要求包括功能要求和

安全要求两部分，其中安全要求包括设备芯片的要求和对签名人的鉴别要求。

6.电子签名生成过程与应用程序要求

电子签名生成过程与应用程序要求分别对电子签名生成过程与电子签名生成应用程序

的功能和安全能力提出要求。电子签名生成过程的要求包括电子签名生成应用程序与生成设

备建立连接过程要求、电子签名数据准备过程要求、电子签名制作数据使用鉴别过程要求、

产生签名过程要求、签名输出过程要求五个部分。电子签名生成应用程序要求包括对电子签

名生成应用程序的功能要求和安全要求两个部分。

7.电子签名验证过程与应用程序要求

电子签名验证过程与应用程序要求分别对电子签名验证过程与电子签名验证应用程序

的功能和安全能力提出要求。电子签名验证过程应能有效地对签名人文件的完整性、额外验

证数据的签名策略符合性、相关证书及额外验证数据的有效性等进行验证。电子签名验证应

用程序要求包括功能要求和安全要求两个部分。

（二）标准框架

本标准主要框架如下：

1范围

2规范性引用文件

3术语和定义

5

4缩略语

5可靠电子签名生成及验证系统架构

6电子认证服务提供者的要求

7签名人身份的要求

8电子签名相关数据的要求

9电子签名生成设备的要求

10电子签名生成过程与应用程序要求

11电子签名验证过程与应用程序要求

参考文献

六、与相关法律法规及国家有关规定、国内外相关标准的关系

本标准符合现有法律法规。本标准依据《中华人民共和国电子签名法》规定的可靠电子

签名应符合的条件，基于公钥基础设施的具体技术实现，结合我国对密码技术和产品以及电

子认证服务业的监管规定编制。本标准结合我国现有电子签名相关技术标准，在此基础上，

提出可靠电子签名应满足的技术要求。本标准依据GB/T1.1-2009规定编制。本标准中涉及

的电子签名，采用GB/T25064-2010《信息安全技术公钥基础设施电子签名格式规范》

规定的格式；本标准中涉及的签名属性，采用GB/T25065-2010《信息安全技术公钥基

础设施签名生成应用程序的安全要求》中的规定；本标准中对时间戳服务的安全要求，采

用GB/T20520-2006《信息安全技术公钥基础设施时间戳规范》中的相关规定。

标准编制过程中，还参考了下列国内外相关标准：

[1]GB/T16264.8-2005信息技术开放系统互联目录第8部分：公钥和属性证书框架.

[2]GB/T19771-2005信息技术安全技术公钥基础设施PKI组件最小互操作规范.

[3]GB/T20271-2006信息安全技术信息系统通用安全技术要求.

[4]GB/T25069-2010信息安全技术术语.

[5]ETSITS101456Policyrequirementsforcertificationauthoritiesissuingqualifiedcertificates

（发放合格证书的证书认证机构策略要求）.

[6]ETSITS101733CMSAdvancedElectronicSignatures(CAdES)（CMS高级电子签名）.

6

[7]CWA14170-2004Securityrequirementsforsignaturecreationapplications（签名生成应用

程序安全需求）.

[8]CWA14171-2004Generalguidelinesforelectronicsignatureverification（电子签名验证通

用指南）.

[9]EN14890-1,ApplicationInterfaceforsmartcardsusedasSecureSignatureCreationDevices

-Part1:Basicservices（作为安全签名生成设备的智能卡应用接口-第一部分：基本服务）.

[10]ETSITS102280,X.509V.3CertificateProfileforCertificat