信息安全技術(shù)公鑰基礎(chǔ)設(shè)施測試評價方法

1、信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施測試評價方法編制說明1. 概述1.1. 意義 隨著中華人民共和國電子簽名法的頒布實(shí)施，數(shù)字簽名證書和手寫簽名 在法律上具有了同等的地位， 這為數(shù)字簽名證書的廣泛應(yīng)用打下了良好的法律基 礎(chǔ)，也對電子認(rèn)證服務(wù)提供者提出了更高的要求。 為了規(guī)范公鑰基礎(chǔ)設(shè)施的建設(shè) 和運(yùn)行，目前國標(biāo)委發(fā)布了 6 個公鑰基礎(chǔ)設(shè)施的國家標(biāo)準(zhǔn)：? GB/T 19713-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié) 議? GB/T 19714-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 證書管理協(xié)議? GB/T 19771-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI 組件最小互操

2、 作規(guī)范? GB/T 20518-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式? GB/T 20519-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 特定權(quán)限管理中心技術(shù) 規(guī)范? GB/T 20520-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施測試評價方法（以下簡稱 測試評價方法）， 依據(jù)國家頒布的公鑰基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)， 對國內(nèi)的公鑰基礎(chǔ)設(shè)施提出具體的測試評 價指南，國內(nèi)的檢測機(jī)構(gòu)根據(jù)測試評價方法和國家標(biāo)準(zhǔn)，能夠?qū)€基礎(chǔ)設(shè) 施進(jìn)行標(biāo)準(zhǔn)化的測試和評價，從而保證測試評價結(jié)果的完整性和一致性。后經(jīng)專家討論， 建議將本標(biāo)準(zhǔn)名稱變更為：信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 標(biāo) 準(zhǔn)一

3、致性測試評價指南 。2. 主要工作過程2007年9月，國標(biāo)委批準(zhǔn)本標(biāo)準(zhǔn)項(xiàng)目， 我檢測中心立刻成立了標(biāo)準(zhǔn)編制小組， 小組主要成員為：邱梓華、顧健、張笑笑、鄒春明、宋好好、張艷、顧瑋、張嵐、 馬海燕；2007年 9 月 12月，編制小組對國標(biāo)委發(fā)布的 6 個公鑰基礎(chǔ)設(shè)施的國家標(biāo) 準(zhǔn)進(jìn)行研究， 并參考了目前國標(biāo)委已經(jīng)發(fā)布的相關(guān)測試評價指南，如：GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求和測試評價指南GB/T 20277-2006 網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價指南GB/T 20275-2006 信息安全技術(shù) 入侵檢測系統(tǒng)技術(shù)要求和測試評價指 南GB/T 20280-2006 信息安

4、全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價指南GB/T 20945-2007 信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測 試評價指南在研究的基礎(chǔ)上，結(jié)合對 CA 的測試經(jīng)驗(yàn)，完成了測試評價方法的標(biāo)準(zhǔn) 初稿；2008年 1月 4月，編制小組根據(jù)測試評價方法標(biāo)準(zhǔn)初稿對實(shí)際產(chǎn)品進(jìn) 行檢測，根據(jù)測試的實(shí)際，進(jìn)一步完善測試評價方法標(biāo)準(zhǔn)初稿；2008年 5 月10 月，編制小組征求相關(guān)企業(yè)和專家意見，并不斷進(jìn)行修改 完善；2008年10月22日，WG工作組組織了馮登國、袁文恭、荊繼武、吳亞非和 崔書昆等專家， 在北京應(yīng)物會議中心對本標(biāo)準(zhǔn)進(jìn)行了項(xiàng)目中期檢查， 與會專家對 本標(biāo)準(zhǔn)提出了很好的建議和意見。 會后根據(jù)

5、專家意見， 編制組對標(biāo)準(zhǔn)進(jìn)行了修改 完善和補(bǔ)充， 例如增加根密鑰的分散保存問題、 增加對測試環(huán)境的描述、 增加對 結(jié)果判據(jù)的描述、 增加對評價方法的描述、 增加綜合評價部分。 具體內(nèi)容詳見意 見匯總處理表( 1)。2009年1月，本標(biāo)準(zhǔn)在WG工作組內(nèi)部進(jìn)行了意見征求，信息安全國家重點(diǎn) 實(shí)驗(yàn)室、國家信息安全工程技術(shù)研究中心、 天威誠信等成員單位對本標(biāo)準(zhǔn)提出了 相關(guān)建議和意見。 根據(jù)與會者所提意見， 編制組對標(biāo)準(zhǔn)進(jìn)行了修改完善。 此次修 改除了對標(biāo)準(zhǔn)中不明確的內(nèi)容進(jìn)一步完善以外， 根據(jù)測試環(huán)境圖給出公鑰基礎(chǔ)設(shè) 施測試環(huán)境的詳細(xì)描述和對測試環(huán)境的技術(shù)要求。 具體內(nèi)容詳見意見匯總處理表(2) 。200

6、9年 4 月，吳亞非和袁文恭兩位專家對標(biāo)準(zhǔn)提出了“評價適用范圍應(yīng)說 明”、“對密碼用法做說明限制”等修改意見，根據(jù)專家意見，編制組進(jìn)行了修 改完善。具體內(nèi)容詳見意見匯總處理表( 3)。2009年4月8 日，WG4工乍組在國家信息安全重點(diǎn)實(shí)驗(yàn)室組織了馮登國、袁 文恭、荊繼武、關(guān)振勝、郭曉雷、李丹、何良生、謝永泉、高能等專家，對標(biāo)準(zhǔn) 進(jìn)行了評審。 與會專家對標(biāo)準(zhǔn)提出了修改意見， 根據(jù)專家意見， 編制組進(jìn)行了修 改完善，如將標(biāo)準(zhǔn)名稱變更為： 公鑰基礎(chǔ)設(shè)施 標(biāo)準(zhǔn)一致性測試評價指南， 將“公 鑰基礎(chǔ)設(shè)施測試環(huán)境”作為資料性附錄等。具體內(nèi)容詳見意見匯總處理表(4)。2009年11月12 日, WG工作組在

7、北京應(yīng)物會議中心組織了崔書昆、 袁文恭、 吳亞非、王立福、趙戰(zhàn)生、荊繼武、李智虎、郝淑芬等專家，對標(biāo)準(zhǔn)(送審稿) 進(jìn)行了評審。 與會專家對標(biāo)準(zhǔn)提出了修改意見， 并建議修改后報(bào)批。 根據(jù)專家意 見，編制組進(jìn)行了修改完善。具體內(nèi)容詳見意見匯總處理表(5)。3. 主要研究內(nèi)容 本標(biāo)準(zhǔn)的主要研究內(nèi)容為公鑰基礎(chǔ)設(shè)施的測試評價指南， 根據(jù)國家頒布的公 鑰基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)， 為標(biāo)準(zhǔn)中的每一個測試項(xiàng)目， 制定具體的測試評價指南和測 試步驟，并準(zhǔn)確描述測試評價結(jié)果的判斷。本標(biāo)準(zhǔn)規(guī)定了對公鑰基礎(chǔ)設(shè)施的測試、評價方法，適用于對公鑰基礎(chǔ)設(shè)施的 評測、研發(fā)和應(yīng)用。一、對于標(biāo)準(zhǔn) GB/T 19713-2005信息技術(shù) 安全

8、技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證 書狀態(tài)協(xié)議，主要研究內(nèi)容為：(1) 請求客戶端的測試評價指南，包括請求消息是否包含規(guī)定數(shù)據(jù)項(xiàng)，請求 消息格式是否正確；(2) 響應(yīng)服務(wù)器的測試評價指南，包括響應(yīng)消息是否包含規(guī)定數(shù)據(jù)項(xiàng)，響應(yīng) 消息格式是否正確；(3) 自身安全性測試評價指南。二、對于標(biāo)準(zhǔn) GB/T 19714-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 證書管 理協(xié)議，主要研究內(nèi)容為：(1) 根CA初始化的測試評價指南；(2) 根CA密鑰更新的測試評價指南；(3) 下級CA初始化的測試評價指南；(4) CRL產(chǎn)生的測試評價指南；(5) PKI信息請求的測試評價指南；(6) 交叉認(rèn)證的測試評價指南；(7)

9、 終端實(shí)體初始化的測試評價指南；(8) PKI信息獲得的測試評價指南；(9) 根CA密鑰帶外驗(yàn)證的測試評價指南；(10) 證書請求的測試評價指南；(11) 密鑰更新的測試評價指南；(12) 傳輸協(xié)議的測試評價指南，包括基于文件的協(xié)議、基于TCP的管理協(xié)議、 基于E-mail的管理協(xié)議、基于HTTP的管理協(xié)議。三、對于標(biāo)準(zhǔn) GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI 組 件最小互操作規(guī)范 ，主要研究內(nèi)容為：(1) RA發(fā)起的注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu) 和數(shù)據(jù)格式；(2) 新實(shí)體的自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié) 構(gòu)和數(shù)據(jù)

10、格式；(3) 已知實(shí)體的自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù) 結(jié)構(gòu)和數(shù)據(jù)格式；(4) 證書更新的測試評價指南， 包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(5) PKCS#10自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié) 構(gòu)和數(shù)據(jù)格式；(6) 撤銷請求的測試評價指南， 包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(7) 集中產(chǎn)生密鑰對和密鑰管理證書申請的測試評價指南，包括請求和回應(yīng) 消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(8) 組合證書申請的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù) 格式；(9) 從資料庫請求證書的測試評價指南；(10) 從資料庫請求CRL的測試評價指南。四、對

11、于標(biāo)準(zhǔn) GB/T 20518-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格 式，主要研究內(nèi)容為：(1) 數(shù)字證書的測試評價指南， 包括數(shù)字證書的數(shù)據(jù)項(xiàng)、 數(shù)據(jù)格式、 算法支 持。五、對于標(biāo)準(zhǔn) GB/T 20519-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 特定權(quán)限管 理中心技術(shù)規(guī)范，主要研究內(nèi)容為：(1) 屬性管理中心的相關(guān)協(xié)議測試評價指南， 包括：代理點(diǎn)PA與屬性注冊機(jī) 構(gòu)ARA間的通信協(xié)議、屬性注冊機(jī)構(gòu)ARA與屬性授權(quán)機(jī)構(gòu)AA間的通信協(xié)議、 屬性授權(quán)機(jī)構(gòu)AA與認(rèn)證機(jī)構(gòu)源SOA間的通信協(xié)議、密碼服務(wù)支持協(xié)議；(2) 屬性證書發(fā)布模式的測試評價指南，包括：權(quán)限直接下載于應(yīng)用系統(tǒng)權(quán) 限目錄列表模式、

12、權(quán)限獨(dú)立下載于用戶公鑰數(shù)字證書模式、權(quán)限下載于公鑰 證書擴(kuò)展項(xiàng)模式、權(quán)限集中下載于權(quán)限數(shù)據(jù)庫模式；(3) PMI/AA的安全實(shí)施測試評價指南，包括：證書撤銷安全、算法強(qiáng)度安全、 身份標(biāo)識安全、LDAP服務(wù)訪問安全、屬性內(nèi)容安全；PMI應(yīng)用模型的測試評價指南，包括：AC (屬性證書)的要求、推模式、 拉模式；(5) 屬性證書的測試評價指南，包括屬性證書數(shù)據(jù)結(jié)構(gòu)和證書項(xiàng)目。六、對于標(biāo)準(zhǔn)GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范，主要研究內(nèi)容為：(1) 時間戳的產(chǎn)生和頒發(fā)的測試評價指南，包括：申請和頒發(fā)的方式、可信 時間的產(chǎn)生方法、時間的同步、申請和頒發(fā)過程；(2) 時間戳管理的

13、測試評價指南，包括：時間戳的保存、備份、檢索、刪除 和銷毀、查看和驗(yàn)證；(3) 時間戳機(jī)構(gòu)(TSA的測試評價指南；(4) 時間戳格式的測試評價指南，包括：密鑰標(biāo)識格式、時間表示格式、時 間戳申請消息格式、時間戳響應(yīng)消息格式、保存文件格式、 MIME 對象格式、 HTTP協(xié)議格式、時間戳格式安全性檢測；(5) 時間戳系統(tǒng)安全的測試評價指南，包括：運(yùn)行環(huán)境安全、可信時間源、 簽名系統(tǒng)、時間戳數(shù)據(jù)庫、安全審計(jì)。4. 標(biāo)準(zhǔn)主要結(jié)構(gòu)與內(nèi)容4.1. 主要結(jié)構(gòu)本標(biāo)準(zhǔn)的文本結(jié)構(gòu)分為： 前言、引言、范圍、規(guī)范性引用文件、 術(shù)語和定義、 公鑰基礎(chǔ)設(shè)施測試環(huán)境、公鑰基礎(chǔ)設(shè)施測試評價指南、綜合評價、附錄：評價項(xiàng) 目總

14、表、參考文獻(xiàn) 。其中公鑰基礎(chǔ)設(shè)施測試環(huán)境給出了一個測試環(huán)境的示例圖。 公鑰基礎(chǔ)設(shè)施測 試評價指南根據(jù) 6 個標(biāo)準(zhǔn)，對應(yīng)分為 6個部分，在每個部分按照標(biāo)準(zhǔn)的相關(guān)要求 進(jìn)行了測試項(xiàng)目的細(xì)分。 綜合評價部分給出了對測試項(xiàng)目的綜合評價建議。 附錄 中將所有評價項(xiàng)目以表格的形式列出，以便于閱讀。具體文本結(jié)構(gòu)如下：、八前言引言1. 范圍2. 規(guī)范性引用文件3. 術(shù)語和定義4. 公鑰基礎(chǔ)設(shè)施測試評價指南4.1. 在線證書狀態(tài)協(xié)議測試評價指南4.1.1. 總則. 請求. 響應(yīng). 異常情況. thisUpdate 、 nextUpdate 和 produc

15、edAt 的語義. OCSP 簽名機(jī)構(gòu)的委托. 密鑰泄露4.1.2. 功能要求. 證書內(nèi)容. 簽名響應(yīng)的接收要求4.1.3. 安全考慮4.2. 證書管理協(xié)議測試評價指南4.2.1. 必需的 PKI 管理功能421.1. 根CA初始化4212 根CA密鑰更新. 下級CA初始化. CRL 產(chǎn)生. PKI 信息請求. 交叉認(rèn)證. 終端實(shí)體初始化. 證書請求. 密鑰更新4.2.2. 傳輸4.2.3. 必選的 PKI 管理消息結(jié)構(gòu). 初始

16、的注冊 / 認(rèn)證（基本認(rèn)證方案）. 證書請求. 密鑰更新請求4.3. PKI 組件最小互操作規(guī)范測試評價指南4.3.1. PKI 組件規(guī)范. 證書認(rèn)證機(jī)構(gòu)（ CA）. 注冊機(jī)構(gòu)（ RA）. 證書持有者規(guī)范. 客戶規(guī)范4.3.2. 數(shù)據(jù)格式. 證書撤銷列表. 事務(wù)消息格式. PKI 事務(wù)4.4. 數(shù)字證書格式測試評價指南4.4.1. 基本證書域的數(shù)據(jù)結(jié)構(gòu)4.4.2. TBSCertificate 及其數(shù)據(jù)結(jié)構(gòu). 版本 version. 序列號

17、serial number. 簽名算法 signature. 頒發(fā)者 issuer. 有效期 validity. 主體 subject. 主體公鑰信息 Subject Public Key Info. 頒發(fā)者唯一標(biāo)識符 IssuerUniqueID. 主體唯一標(biāo)識符 SubjectUniqueID4.4.3. 證書擴(kuò)展項(xiàng). 標(biāo)準(zhǔn)擴(kuò)展. 專用因特網(wǎng)擴(kuò)展 PrivateInternetExtensions id-pkix4.5. 特定權(quán)限管理中心技術(shù)規(guī)范測試評價指南4.5.

18、1. 系統(tǒng)相關(guān)協(xié)議. 代理點(diǎn)PA與屬性注冊機(jī)構(gòu)ARA、可的通信協(xié)議屬性注冊機(jī)構(gòu)ARA與屬性授權(quán)機(jī)構(gòu)AA間的通信協(xié)議. 屬性授權(quán)機(jī)構(gòu)AA與認(rèn)證機(jī)構(gòu)源SOA間的通信協(xié)議4.5.2. PMI/AA 的安全實(shí)施. 證書撤銷安全. 算法強(qiáng)度安全4.523. 身份標(biāo)識安全4.524. LDAP服務(wù)訪問安全4.525. 屬性內(nèi)容安全4.5.3. 屬性證書格式4.6. 時間戳規(guī)范測試評價指南4.6.1. 時間戳的產(chǎn)生和頒發(fā)461.1. 申請和頒發(fā)方式. 可信時間的產(chǎn)生方法. 時間的同步. 申請和頒發(fā)過程4.6.2

19、. 時間戳的管理. 時間戳的保存4.622.時間戳的備份. 時間戳的檢索. 時間戳的刪除和銷毀. 時間戳的查看和驗(yàn)證4.6.3. 時間戳的格式. 對TSA的要求. 密鑰標(biāo)識. 時間的表示格式. 時間戳申請和響應(yīng)消息格式. 保存文件. 所用MIME對象定義. 時間戳格式的安全考慮4.6.4. 時間戳系統(tǒng)的安全. 可信時間源. 審計(jì)5. 綜合評價附錄A （資料性附錄）測試項(xiàng)目總表附錄B （資料性附錄）公鑰基礎(chǔ)設(shè)施測試環(huán)

20、境示例4.2. 主要內(nèi)容4.2.1. 在線證書狀態(tài)協(xié)議測試評價指南該部分針對標(biāo)準(zhǔn)GB/T 19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證 書管理協(xié)議提出具體的測試評價指南。主要測試評價項(xiàng)目為：在線證書狀態(tài) 協(xié)議測試評價 指南總則請求響應(yīng)異常情況thisUpdate、nextUpdate 禾口 producedAt 的語義OCSF簽名機(jī)構(gòu)的委托密鑰泄露功能要求證書內(nèi)容簽名響應(yīng)的接收要求 安全考慮422.證書管理協(xié)議測試評價指南該部分針對標(biāo)準(zhǔn)GB/T19714-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 證書 管理協(xié)議提出具體的測試評價指南。主要測試評價項(xiàng)目為：證書管理 協(xié)議測試 評價指南必需的

21、PKI管理功 能根CA初始化根CA密鑰更新下級CA初始化CRL產(chǎn)生PK1信息請求交叉認(rèn)證終端實(shí)體初始化證書請求密鑰更新傳輸必選的PKI管理消 息結(jié)構(gòu)初始的注冊/認(rèn)證（基本認(rèn)證方案）證書請求密鑰更新請求4.2.3. PKI組件最小互操作規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施PKI 組件最小互操作規(guī)范提出具體的測試評價指南。主要測試評價項(xiàng)目為：PKI組件最小 互操作規(guī)范測 試評價指南PKI組件規(guī)范證書認(rèn)證機(jī)構(gòu)（CA注冊機(jī)構(gòu)（RA證書持有者規(guī)范客戶規(guī)范數(shù)據(jù)格式證書撤銷列表事務(wù)消息格式PKI事務(wù)4.2.4. 數(shù)字證書格式測試評價指南該部分針對標(biāo)準(zhǔn)GB

22、/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書 格式提出具體的測試評價指南。主要測試評價項(xiàng)目為：數(shù)字證書格式 測試評價指南基本證書域的數(shù)據(jù)結(jié)構(gòu)TBSCertificate 及其數(shù)據(jù)結(jié)構(gòu)版本序列號簽名算法頒發(fā)者有效期證書擴(kuò)展項(xiàng)主體 主體公鑰信息 頒發(fā)者唯一標(biāo)識符 主體唯一標(biāo)識符 標(biāo)準(zhǔn)擴(kuò)展 專用因特網(wǎng)擴(kuò)展425.特定權(quán)限管理中心技術(shù)規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限 管理中心技術(shù)規(guī)范提出具體的測試評價指南。主要測試評價項(xiàng)目為：特定權(quán)限管理 中心技術(shù)規(guī)范 測試評價指南系統(tǒng)相關(guān)協(xié)議代理點(diǎn)PA與屬性注冊機(jī)構(gòu)ARA間 的通信協(xié)議屬性注冊機(jī)構(gòu)ARA與屬性授權(quán)機(jī)構(gòu)AA間的通信協(xié)議屬性授權(quán)機(jī)構(gòu)AA與認(rèn)證機(jī)構(gòu)源SOA間的通信協(xié)議PMI/AA的安全實(shí)施證書撤銷安全算法強(qiáng)度安全身份標(biāo)識安全LDAP服務(wù)訪問安全屬性內(nèi)容安全屬性證書格式4.2.6. 時間戳規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī) 范提出具體的測試評價指南。主要測試評價項(xiàng)目為：時間戳規(guī)范測 試評價指南時間戳的產(chǎn)生和頒發(fā)申請和頒發(fā)方式可信時間的產(chǎn)生方法