《信息安全技术公钥基础设施标准符合性测评(GB-T 30272-2021).pdf》由会员分享,可在线阅读,更多相关《信息安全技术公钥基础设施标准符合性测评(GB-T 30272-2021).pdf(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.030CCS L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 30272202X代替 GB/T 30272-2013信息安全技术 公钥基础设施标准符合性测评Information security technology Public key infrastructure Testing and assessment of compliance with standards(报批稿)(本稿完成日期:2020 年 12 月 11 日)xxxx-xx-xx 发布xxxx-xx-xx 实施GB/T 30272-202XI目次前言.III引言.IV1 范围
2、.12 规范性引用文件.13 术语和定义.14 缩略语.15 在线证书状态协议测评.25.1 总则.25.2 安全考虑.46 证书管理协议测评.46.1 必需的 PKI 管理功能.46.2 传输.76.3 必选的 PKI 管理消息结构.77 组件最小互操作规范测评.87.1 组件规范.87.2 数据格式.108 数字证书格式测评.138.1 基本证书域的数据结构.148.2 TBSCertificate 及其数据结构.148.3 证书扩展项.169 时间戳规范测评.209.1 时间戳的产生和颁发.209.2 时间戳的管理.219.3 时间戳的格式.239.4 时间戳系统的安全.2610 电子签
3、名格式测评.2810.1 基本数据格式.2810.2 验证数据格式.2810.3 签名策略要求.2811 基于数字证书的可靠电子签名生成及验证技术测评.2911.1 电子签名相关数据的要求.2911.2 签名生成模块的要求.2911.3 电子签名生成过程与应用程序要求.3011.4 电子签名验证过程与应用程序要求.3012 综合评价.31附录 A(资料性)测试项目总表.34GB/T 30272-202XII附录 B(资料性)公钥基础设施测试环境示例.37参考文献.38GB/T 30272-202XIII前言本文件按照GB/T 1.12020标准化工作导则 第一部分:标准化文件的结构和起草规则的
4、规定起草。本文件代替GB/T 302722013信息安全技术 公钥基础设施 标准一致性测试评价指南,与GB/T302722013相比,除编辑性改动外,主要技术变化如下:标准名称修改为:信息安全技术 公钥基础设施 标准符合性测评;删除了“特定权限管理中心技术规范测评”(见2013年版的4.5);增加了“电子签名格式测评”(见第10章);增加了“基于数字证书的可靠电子签名生成及验证技术测评”(见第11章);修改了“数字证书格式测评”中的相关内容(见第8章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归
5、口。本文件起草单位:上海辰锐信息科技公司、公安部第三研究所、中国科学院数据与通信保护研究教育中心、北京数字认证股份有限公司、格尔软件股份有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)。本文件主要起草人:邱梓华、陈妍、李谦、刘丽敏、吕娜、郑强、傅大鹏、王路晗、邵旭东、陈家明、顾流、赵欣怡、原泉、刘中、许俊、刘健。本文件及其所代替文件的历次版本发布情况为:2013年首次发布为GB/T 302722013;本次为第一次修订。GB/T 30272-202XIV引言本文件用于指导测试评价者测试与评价公钥基础设施是否达到国家标准要求。本文件依据国家已颁布、实施的7个公钥基础设施标准
6、,即:GB/T 197132005信息技术 安全技术 公钥基础设施 在线证书状态协议GB/T 197142005信息技术 安全技术 公钥基础设施 证书管理协议GB/T 197712005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范GB/T 205182018信息安全技术 公钥基础设施 数字证书格式GB/T 205202006信息安全技术 公钥基础设施 时间戳规范GB/T 250642010信息安全技术 公钥基础设施 电子签名格式规范GB/T 352852017 信息安全技术 公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求对相应评价测试方法做了详细描述。采用密码技术解决
7、机密性、完整性、真实性、不可否认性需求的,应遵循相关密码国家标准和行业标准。GB/T 30272-202X1信息安全技术 公钥基础设施 标准符合性测评1范围本文件描述了公钥基础设施相关组件的测试评价方法,包括CA、RA、时间戳子系统、在线证书状态查询子系统、电子签名及验证子系统、客户端等组件。本文件适用于按照国家标准GB/T 197132005、GB/T 197142005、GB/T 197712005、GB/T205182018、GB/T 205202006、GB/T 250642010、GB/T 352852017进行研制开发的产品类公钥基础设施相关组件的测试和评价。2规范性引用文件下列文
8、件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 197132005信息技术 安全技术 公钥基础设施 在线证书状态协议GB/T 197142005信息技术 安全技术 公钥基础设施 证书管理协议GB/T 197712005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范GB/T 205182018信息安全技术 公钥基础设施 数字证书格式GB/T 205202006信息安全技术 公钥基础设施 时间戳规范GB/T 250642010信息安全技术 公钥基础
9、设施 电子签名格式规范GB/T 250692010信息安全技术 术语GB/T 352752017信息安全技术 SM2密码算法加密签名消息语法规范GB/T 352852017信息安全技术 公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求3术语和定义GB/T 197132005、GB/T 197142005、GB/T 197712005、GB/T 205182018、GB/T 205202006、GB/T 250642010、GB/T 352852017、GB/T 250692010界定的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。BES基本电子签名Basis Electro
10、nic SignatureCA认证机构Certification AuthorityCPS认证惯例陈述Certification Practice StatementCRL证书撤销列表Certificate Revocation ListES电子签名Electronic SignatureESS增强安全服务Enhanced Security ServicesGB/T 30272XXXX2MIME多用途网络邮件扩充协议Multipurpose Internet Mail ExtensionOCSP在线证书状态协议Online Certificate Status ProtocolOID对象标识符
11、Object IDPIN个人身份识别码personal identification numberPKCS公钥密码标准Public-Key Cryptography StandardsPKI公钥基础设施Public Key InfrastructureRA注册机构Registration AuthorityTSA时间戳机构Time Stamp Authority5在线证书状态协议测评5.1总则5.1.1请求测评依据见 GB/T 197132005 中 5.2 的内容。开发者应提供文档,对所使用的在线证书状态协议进行说明。测评方法如下。a)由 OCSP 请求者发送多个不同状态证书的状态请求,检测
12、 OCSP 响应器是否提供了正确的证书状态响应;b)检测 OCSP 请求是否包含以下数据:协议版本、服务请求、目标证书标识符、其他扩展数据(如OCSP 请求者的签名、随机数等);c)使用工具发送不正确报文格式的请求,检测 OCSP 响应器是否发出错误信息;d)使用工具发送响应器没有配置所要求服务的请求,检测 OCSP 响应器是否发出错误信息;e)使用工具发送不完整信息的请求,检测 OCSP 响应器是否发出错误信息。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。5.1.2响应测评依据见 GB/T 197132005 中 5.3 的内容。开发者应提供文档
13、,对响应签名的密钥、响应消息格式、响应消息内容等进行说明。测评方法如下。a)模拟各种身份的 OCSP 请求者,发送多个不同状态证书的状态请求,OCSP 响应请求,检测此过程中是否对所有明确的响应报文都进行数字签名。b)检测响应签名的密钥是否为下列三种情况之一:1)签发待查询证书的 CA 公钥,2)可信赖的响应器的公钥,3)CA 指定的响应器公钥。c)由 OCSP 请求者发送多个不同状态证书的状态请求,检测 OCSP 响应器的响应消息中是否包含以下内容:1)响应语法的版本,2)响应器的名称,3)对请求中每个证书的响应,4)可选择的扩展,5)签名算法的 OID,GB/T 30272-202X36)
14、响应的杂凑值签名。d)检测对请求中每个证书的响应,是否包含以下内容:1)目标证书标识符,2)证书状态值,3)响应的有效期限,4)可选的扩展。e)检测 OCSP 响应消息中,证书状态值是否为以下三种响应标识符之一,并检测证书状态是否与实际一致:1)Good,表示对状态查询的肯定响应;2)Revoked(已撤销),表示证书已被撤销;3)Unknown(未知),表示响应器不能鉴别待验证状态的证书。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。5.1.3异常情况测评依据见 GB/T 197132005 中 5.4 的内容。开发者应提供文档,对 OCSP 响应
15、器返回的错误消息进行说明。测评方法如下。a)使用工具发送一个没有遵循 OCSP 语法的请求,检测 OCSP 响应器是否发出相应的错误信息;b)使响应器处于非协调的工作状态,发送一个正常请求,检测 OCSP 响应器是否发出相应的错误信息;c)使响应器处于不能返回所请求证书的状态,发送一个证书请求,检测 OCSP 响应器是否发出相应的错误信息;d)使用工具发送一个没有签名的请求,检测 OCSP 响应器是否发出相应的错误信息;e)使用工具发送一个未授权的请求,检测 OCSP 响应器是否发出相应的错误信息。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。5.1
16、.4thisUpdate、nextUpdate 和 producedAt 的语义测评依据见 GB/T 197132005 中第 9 章的内容。开发者应提供文档,对 thisUpdate、nextUpdate 和 producedAt 的语义进行说明。测评方法如下。a)发送多个证书请求,检测 OCSP 响应消息是否包含以下时间字段:1)thisUpdate:此次更新时间;2)nextUpdate(可选字段):下次更新时间;若没有设置此字段,需指明随时可以获得更新的撤销信息;3)producedAt:签发时间。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足
17、。5.1.5OCSP 签名机构的委托测评依据见 GB/T 197132005 中 5.7 的内容。开发者应提供文档,对所使用的在线证书状态协议中 OCSP 签名机构的委托过程进行说明。测评方法如下。GB/T 30272XXXX4a)如果签署证书状态信息的密钥与签署证书的密钥不同,由 CA 向响应器签发一个含有extendedKeyUsage 唯一值的证书;b)发送一个证书状态查询请求,检测响应器能否用上述证书对证书状态信息进行签名。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。5.1.6CA 密钥泄露测评依据见 GB/T 197132005 中 5.
18、8 的内容。开发者应提供文档,对 CA 密钥泄露时 OCSP 响应器的设置进行说明。测评方法如下。a)在 OCSP 响应器中,将某一个 CA 的状态设置为私钥泄露;b)发送一个上述 CA 签发的证书状态查询请求,检测 OCSP 响应器能否返回上述 CA 签发的所有证书已撤销的状态信息。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。5.2安全考虑测评依据见 GB/T 197132005 中第 8 章的内容。开发者应提供文档,对所使用的在线证书状态协议进行脆弱性分析。测评方法如下。a)查看开发者提供的脆弱性分析报告,检测 OCSP 系统能否抵御标准中的相
19、关攻击(至少应该包括拒绝服务攻击和重放攻击)。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6证书管理协议测评6.1必需的 PKI 管理功能6.1.1根 CA 初始化测评依据见 GB/T 197142005 中 8.1 的内容。开发者应提供文档,针对根 CA 初始化的过程进行说明。测评方法如下。a)根据开发者文档,产生一对根 CA 的密钥对,并将密钥对中的私钥进行保存,检测根密钥的保存方式是否安全(例如:保存在加密机或加密卡中,并受口令保护);b)选择根 CA 的密钥对进行根 CA 初始化,用产生的私钥为公钥签发证书,产生自签名证书,检测这个证书的结
20、构是否和“newWithNew”证书结构相同;c)为 CA 的公钥产生一个指纹,并检测传递指纹的数据结构是否为 OOBCertHash。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.2根 CA 密钥更新测评依据见 GB/T 197142005 中 8.2 的内容。开发者应提供文档,针对根 CA 密钥更新的过程进行说明。GB/T 30272-202X5测评方法如下。a)在 CA 的生命周期到期前,模拟一次根 CA 密钥更新的过程;b)产生新的根 CA 的密钥对;c)产生一个用新私钥为旧公钥签名的证书(“OldWithNew”证书);d)产生一个
21、用旧私钥为新公钥签名的证书(“NewWithOld”证书);e)产生一个用新私钥为新公钥签名的证书(“NewWithNew”证书);f)发布这些新证书;g)导出 CA 的新公钥;h)使用 CA 的新密钥为一个终端实体签发一个新证书;i)利用 CA 旧公钥的终端实体,获得 NewWithOld 证书,并验证上述新证书;j)利用 CA 新公钥的终端实体,获得 OldWithNew 证书,并验证 CA 旧密钥签发的旧证书。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.3下级 CA 初始化测评依据见 GB/T 197142005 中 8.3 的内容。
22、开发者应提供文档,针对下级 CA 初始化的过程进行说明。测评方法如下。a)在下级 CA 初始化之前,检测下级 CA 能否获得以下 PKI 信息:1)当前根 CA 的公钥,并使用杂凑值对根 CA 公钥进行带外验证;2)撤销列表以及撤销列表的认证路径;3)所支持的每一种相关应用的算法和算法变量。b)模拟一次下级 CA 初始化的过程:产生下级 CA 密钥,利用根证书产生下级 CA 的签名证书。c)产生初始的撤销列表。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.4CRL 产生测评依据见 GB/T 197142005 中 8.4 的内容。开发者应提供
23、文档,针对 CRL 产生的过程进行说明。测评方法如下。a)在发布证书之前,在新建立 CA 中产生空的 CRL 列表;b)检测能否操作成功;c)撤销一张证书,检测 CRL 是否可以正常更新。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.5PKI 信息请求测评依据见 GB/T 197142005 中 8.5 的内容。开发者应提供文档,针对 PKI 信息请求进行说明。测评方法如下。a)评价者模拟各种 PKI 信息请求,检测 CA 是否能够提供请求者要求的所有请求信息,如果某些信息不能提供,CA 是否给请求者返回错误信息;b)检测文档是否和标准的规定
24、一致。GB/T 30272XXXX6记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.6交叉认证测评依据见 GB/T 197142005 中 8.6 的内容。开发者应提供文档,针对交叉认证过程进行说明。测评方法如下。a)评价者模拟一次交叉认证过程;b)新建三个独立的 CA 系统,分别命名为 A、B、C;c)分别使用三个 CA 系统,签发三个证书,分别命名为:a、b、c;d)以 CA 系统 A 为请求者,CA 系统 B 为响应者,进行交叉认证操作,检测操作过程和消息结构是否符合标准要求;e)在拥有证书 b 的终端实体上,使用交叉认证证书验证证书 a
25、,应能验证成功;f)在拥有证书 b 的终端实体上,验证证书 c,验证应不成功。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据。6.1.7终端实体初始化6.1.7.1获得 PKI 信息测评依据见 GB/T 197142005 中 8.7.1 的内容。开发者应提供文档,针对终端实体初始化过程中的“获得 PKI 信息”这一步骤进行说明。测评方法如下。a)在终端实体初始化之前,检测能否获得以下 PKI 信息:1)当前根 CA 的公钥;2)撤销列表以及撤销列表的认证路径;3)所支持
26、的每一种相关应用的算法和算法参数。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.1.8证书请求测评依据见 GB/T 197142005 中 8.8 的内容。开发者应提供文档,针对证书模板和证书请求进行说明。测评方法如下。a)检测经过初始化的终端实体是否能够正确请求到证书:1)对每一种证书模板,选择一个经过初始化的终端实体,提出证书请求;2)检测这个请求是否使用证书请求消息;3)检测能否返回所申请的新证书;4)选择一个已经拥有一对签名密钥(带有相应的验证证书)的终端实体,提出证书请求;5)检测证书请求消息是否使用此实体的数字签名来保护;6)检测能否
27、返回所申请的新证书;7)检查文档是否和标准的规定一致。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。GB/T 30272-202X76.1.9密钥更新测评依据见 GB/T 197142005 中 8.9 的内容。开发者应提供文档,针对密钥更新进行说明。测评方法如下。a)在终端实体的证书将要过期前,评价者模拟密钥更新的过程;b)检查文档是否和标准的规定一致。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.2传输测评依据见 GB/T 197142005 中第 9 章的内容。开发者应提供文档,说明在终端实体、R
28、A、CA 之间传输 PKI 消息的传输协议和消息格式。测评方法如下。a)如果 PKI 消息通过文件传输,检测 PKI 消息的格式是否符合标准要求;b)如果 PKI 消息通过 TCP 管理协议传输,检测 PKI 消息的格式是否符合标准要求;c)如果 PKI 消息通过 E-mail 方式传输,检测 PKI 消息的格式是否符合标准要求;d)如果 PKI 消息通过 HTTP 方式传输,检测 PKI 消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统支持的每种传输方式的消息格式和传输协议均符合标准要求,则本项满足。6.3必选的 PKI 管理消息结构6.3.1初始
29、的注册/认证(基本认证方案)测评依据见 GB/T 197142005 中 B.4 的内容。开发者应提供文档,说明初始的注册/认证的消息格式。测评方法如下。a)通过未初始化的终端实体向 CA 请求第一个证书,根据开发者所提供的文档,检测终端实体和PKI 之间的通信消息是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.3.2证书请求测评依据见 GB/T 197142005 中 B.5 的内容。开发者应提供文档,说明证书请求的消息格式。测评方法如下。a)通过已经初始化的终端实体向 CA 请求证书,根据开发者所提供的文档,检测终端实体和 P
30、KI之间的通信消息是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。6.3.3密钥更新请求测评依据见 GB/T 197142005 中 B.6 的内容。开发者应提供文档,说明密钥更新请求的消息格式。测评方法如下。GB/T 30272XXXX8a)在密钥即将过期前,通过已经初始化的终端实体向 CA 请求证书(用于更新密钥对和/或已经拥有的相应证书),根据开发者所提供的文档,检测终端实体和 PKI 之间的通信消息是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7组件最小互操作规范测
31、评7.1组件规范7.1.1证书认证机构(CA)7.1.1.1颁发数字签名证书测评依据见 GB/T 197712005 中 5.2.2 a)的内容。开发者应提供文档,针对数字签名证书的颁发进行说明。测评方法如下。a)对每一种证书模板,通过授权 RA 产生多个签名数字证书请求,并发送给 CA,检测 CA 能否生成新证书并将其放在资料库中;b)通过非授权 RA 产生一个签名数字证书请求,并发送给 CA,检测 CA 能否拒绝该证书申请,能否向 RA 报告失败并说明原因;c)通过授权 RA 产生一个包含不匹配信息的签名数字证书请求,并发送给 CA,检测 CA 能否拒绝该证书申请,能否向 RA 报告失败并
32、说明原因;d)对每一种证书模板,产生多个自我注册的证书请求,并发送给 CA,检测 CA 是否验证请求者的身份并验证申请者的相应私钥,如果验证成功,检测 CA 能否生成新证书并将其放在资料库中;如果验证失败,检测 CA 能否拒绝该证书申请,能否向申请者报告失败并说明原因;e)对每一种证书模板,产生多个更新的证书请求,并发送给 CA,检测 CA 是否验证请求者的身份,如果验证成功,检测 CA 能否生成新证书并将其放在资料库中;如果签名无效或者 CA 策略不允许更新,检测 CA 能否拒绝该证书更新请求,并向申请者报告失败并说明原因;f)以非法的请求者产生一个更新的证书请求,检测 CA 能否拒绝该证书
33、更新请求,能否向申请者报告失败并说明原因。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.1.1.2颁发加密证书测评依据见 GB/T 197712005 中 5.2.2 b)的内容。开发者应提供文档,针对加密证书的颁发进行说明。测评方法如下。a)由第三方集中产生加密密钥对,并通过带外方式提供给 CA;b)由证书持有者生成一个加密证书请求,说明自己想要的加密算法,并对该请求进行数字签名,将该请求发送给 CA;c)检测 CA 能否验证请求者身份,并颁发加密证书和加密私钥给请求者。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符
34、合,则本项满足。7.1.1.3交叉认证GB/T 30272-202X9测评依据见 GB/T 197712005 中 5.2.2 c)的内容。开发者应提供文档,针对 CA 间的交叉认证进行说明。测评方法如下。a)在两个交叉认证的 CA 之间交换 CA 的公钥,分别根据对方的公钥生成证书,并将其存放到资料库中;b)检测双方之间的证书能否交叉认证。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据。7.1.1.4撤销证书测评依据见 GB/T 197712005 中 5.2.2 d)
35、的内容。开发者应提供文档,针对证书的撤销进行说明。测评方法如下。a)以多个证书持有者身份请求撤销证书,并将请求发送给 CA,检测 CA 是否验证请求者身份,验证成功后能否将证书放入 CRL 中;b)产生新的全量 CRL,检测老 CRL 中的全部信息是否放到新 CRL 中;c)产生新的增量 CRL,检测新增的撤销证书信息是否放到新 CRL 中;d)通过 RA 向 CA 发送多个证书撤销请求,检测 CA 是否验证请求者身份,验证成功后能否将证书放入 CRL 中。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.1.1.5请求 CA 证书测评依据见 GB/
36、T 197712005 中 5.2.2 f)的内容。开发者应提供文档,针对向上一级 CA 申请证书进行说明。测评方法如下。a)通过 CA 向上一级的 CA 申请证书,检测能否申请成功。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.1.2注册机构(RA)测评依据见 GB/T 197712005 中 5.3 的内容。开发者应提供文档,针对 RA 的操作规范进行说明。测评方法如下。a)针对每一种证书模板,向 RA 提交多个 CertReq 格式的证书请求;b)检测 RA 是否审查请求者的身份;c)检测 RA 是否确认请求者拥有相应的完整的密钥对;d)验
37、证通过后,检测 RA 能否抽取公钥信息并用 RA 的名字和签名建立一个新的 CertReq 消息;e)检测 RA 能否将新的 CertReq 消息发送给 CA;f)如果证书请求被接受,检测 RA 能否接收 CA 颁发的新证书,并将新证书发送给请求者;g)如果证书请求被拒绝,检测 RA 能否审查从 CA 发来的错误代码并向证书请求者返回证书拒绝的响应消息;h)向 RA 提交多个证书撤销请求,检测 RA 是否验证请求者身份,并产生新的 RevReq 消息;i)检测 RA 能否将新的 RevReq 消息发送给 CA;GB/T 30272XXXX10j)如果证书撤销请求被接受,检测 RA 能否接收 C
38、A 回应的 RevReq 消息,能否将此信息提交给请求者;k)如果证书撤销请求被拒绝,检测 RA 能否审查错误代码,并再次产生撤销请求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.1.3证书持有者规范测评依据见 GB/T 197712005 中 5.4 的内容。开发者应提供文档,针对证书持有者规范进行说明。测评方法如下。a)以多个用户身份申请签名证书,检测能否成功申请并且获取证书;b)以多个用户身份申请加密证书,检测能否成功申请并且获取证书;c)以多个证书持有者身份,申请撤销签名证书,检测能否成功撤销证书;d)以多个证书持有者身份,申请更新签名
39、证书,检测能否成功更新证书。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.1.4客户规范测评依据见 GB/T 197712005 中 5.5 的内容。开发者应提供文档,针对客户规范进行说明。测评方法如下。a)验证客户能否验证签名;b)验证客户能否从查询服务器检索证书和 CRLs;c)验证客户能否验证证书认证路径。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2数据格式7.2.1证书撤销列表测评依据见 GB/T 197712005 中 6.3 的内容。开发者应提供文档,针对证书撤销列表的格式进行说明。
40、测评方法如下。a)由 CA 颁发证书撤销列表;b)下载证书撤销列表,检测证书撤销列表的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.2事务消息格式7.2.2.1全体 PKI 消息组件测评依据见 GB/T 197712005 中 6.5.2 的内容。开发者应提供文档,针对 PKI 消息的格式进行说明。测评方法如下。a)根据开发者提供的文档,检测 PKI 消息(包括:header、body、protection、extraCerts 字段)的GB/T 30272-202X11格式是否符合标准要求。记录测评结果并对该结果是否完
41、全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.2.2通用数据结构测评依据见 GB/T 197712005 中 6.5.3 的内容。开发者应提供文档,针对证书模板、签名私钥的拥有证明、证书请求消息、协议加密密钥控制、PKI 消息状态码、失败信息、确认协议、证书识别、Centrally Generated Keys 和带外信息的格式进行说明。测评方法如下。a)根据开发者提供的文档,检测证书模板的消息格式是否符合标准要求;b)根据开发者提供的文档,检测签名私钥的拥有证明消息格式是否符合标准要求;c)根据开发者提供的文档,检测证书请求的消息格式是否符合标准要求;d)根据开发者提
42、供的文档,检测协议加密密钥控制的消息格式是否符合标准要求;e)根据开发者提供的文档,检测 PKI 消息状态码的消息格式是否符合标准要求;f)根据开发者提供的文档,检测失败信息的消息格式是否符合标准要求;g)根据开发者提供的文档,检测确认协议的消息格式是否符合标准要求;h)根据开发者提供的文档,检测证书识别的消息格式是否符合标准要求;i)根据开发者提供的文档,检测 Centrally Generated Keys 的消息格式是否符合标准要求;j)根据开发者提供的文档,检测带外信息的消息格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
43、7.2.2.3特殊操作的数据结构测评依据见 GB/T 197712005 中 6.5.4 的内容。开发者应提供文档,针对注册/证书请求、注册/证书响应、撤销请求的内容、撤销响应内容、PKCS#10证书请求的消息格式进行说明。测评方法如下。a)根据开发者提供的文档,检测注册/证书请求的消息格式是否符合标准要求;b)根据开发者提供的文档,检测注册/证书响应的拥有证明消息格式是否符合标准要求;c)根据开发者提供的文档,检测撤销请求的内容的消息格式是否符合标准要求;d)根据开发者提供的文档,检测撤销响应内容的消息格式是否符合标准要求;e)根据开发者提供的文档,检测 PKCS#10 证书请求的消息格式是
44、否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.3PKI 事务7.2.3.1RA 发起的注册请求测评依据见 GB/T 197712005 中 6.6.2 的内容。如果产品支持远端 RA,则开发者应提供文档,针对 RA 发起的注册请求进行说明。测评方法如下。a)根据开发者提供的文档,对每一种证书模板,在 RA 上向 CA 请求多个终端实体的证书;b)检测从 RA 到 CA 的证书请求消息的格式是否符合标准要求;GB/T 30272XXXX12c)检测从 CA 到 RA 的证书回应消息的格式是否符合标准要求;d)检测确认消息的格式是
45、否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.3.2新实体的自我注册请求测评依据见 GB/T 197712005 中 6.6.3 的内容。如果 CA 接受自我注册请求,则开发者应提供文档,针对新实体的自我注册请求进行说明。测评方法如下。a)根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向 CA 申请新的证书;b)检测从证书持有者到 CA 的自我注册请求消息的格式是否符合标准要求;c)检测从 CA 到证书请求者的自我注册请求回应消息的格式是否符合标准要求;d)检测确认消息的格式是否符合标准要求。记录测评结果并对该结
46、果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.3.3已知实体的自我注册请求测评依据见 GB/T 197712005 中 6.6.4 的内容。如果 CA 接受自我注册请求,则开发者应提供文档,针对已知实体的自我注册请求进行说明。测评方法如下。a)根据开发者提供的文档,对每一种证书模板,以多个已知实体身份直接向 CA 申请新的证书;b)检测从证书持有者到 CA 的自我注册请求消息的格式是否符合标准要求;c)检测从 CA 到证书请求者的自我注册请求回应消息的格式是否符合标准要求;d)检测确认消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出
47、判断。如果以上结果全部符合,则本项满足。7.2.3.4证书更新测评依据见 GB/T 197712005 中 6.6.5 的内容。如果 CA 的 CPS 支持证书更新,则开发者应提供文档,针对证书的更新进行说明。测评方法如下。a)根据开发者提供的文档,对每一种证书模板,以多个拥有当前有效证书的实体身份直接向 CA申请新的证书;b)检测从证书持有者到 CA 的证书更新申请消息的格式是否符合标准要求;c)检测从 CA 到证书持有者的证书更新响应消息的格式是否符合标准要求;d)检测确认消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
48、7.2.3.5PKCS#10 自我注册请求测评依据见 GB/T 197712005 中 6.6.6 的内容。如果 CA 接受自我注册请求,则开发者应提供文档,针对 PKCS#10 自我注册请求进行说明。测评方法如下。a)根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向 CA 申请新的 PKCSGB/T 30272-202X1310 证书;b)检测从证书持有者到 CA 的自我注册请求消息的格式是否符合标准要求;c)检测从 CA 到证书请求者的 PKCS 证书请求响应消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
49、7.2.3.6撤销请求测评依据见 GB/T 197712005 中 6.6.7 的内容。开发者应提供文档,针对撤销请求进行说明。测评方法如下。a)根据开发者提供的文档,以多个拥有当前有效证书的实体身份直接申请撤销自己的证书;b)检测从证书持有者到 RA 的撤销请求消息的格式是否符合标准要求;c)检测从 RA 到 CA 的撤销请求消息的格式是否符合标准要求;d)检测从 CA 到 RA 的撤销响应消息的格式是否符合标准要求;e)检测从 RA 到证书持有者的撤销响应消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.3.7集中
50、产生密钥对和密钥管理证书申请测评依据见 GB/T 197712005 中 6.6.8 的内容。开发者应提供文档,针对集中产生密钥对和密钥管理证书申请进行说明。测评方法如下。a)根据开发者提供的文档,以多个拥有当前有效证书的实体身份向 CA 申请产生加密密钥并签发证书;b)检测集中产生密钥对申请消息的格式是否符合标准要求;c)检测集中产生密钥对回应消息的格式是否符合标准要求;d)检测确认消息的格式是否符合标准要求。记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。7.2.3.8组合证书申请测评依据见 GB/T 197712005 中 6.6.9 的内容。如