信息安全技術(shù)公鑰基礎(chǔ)設(shè)施測試評價方法

1、-信息安全技術(shù)公鑰基礎(chǔ)設(shè)施測試評價方法編制說明1 .概述1.1. 意義隨著中華人民共和國電子簽名法的頒布實施，數(shù)字簽名證書和手寫簽名在法律上具有了同等的地位，這為數(shù)字簽名證書的廣泛應(yīng)用打下了良好的法律基礎(chǔ)，也對電子認(rèn)證服務(wù)提供者提出了更高的要求。為了規(guī)范公鑰基礎(chǔ)設(shè)施的建設(shè)和運行，目前國標(biāo)委發(fā)布了6個公鑰基礎(chǔ)設(shè)施的國家標(biāo)準(zhǔn)：?GB/T19713-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議?GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議?GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范?GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)

2、設(shè)施數(shù)字證書格式?GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范?GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范信息安全技術(shù)公鑰基礎(chǔ)設(shè)施測試評價方法（以下簡稱測試評價方法），依據(jù)國家頒布的公鑰基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)，對國內(nèi)的公鑰基礎(chǔ)設(shè)施提出具體的測試評價指南，國內(nèi)的檢測機構(gòu)根據(jù)測試評價方法和國家標(biāo)準(zhǔn)，能夠?qū)€基礎(chǔ)設(shè)施進行標(biāo)準(zhǔn)化的測試和評價，從而保證測試評價結(jié)果的完整性和一致性。后經(jīng)專家討論，建議將本標(biāo)準(zhǔn)名稱變更為：信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南。2 .主要工作過程2007年9月，國標(biāo)委批準(zhǔn)本標(biāo)準(zhǔn)項目，我檢測中心立刻成立了標(biāo)準(zhǔn)編制小組，小組

3、主要成員為：邱梓華、顧健、張笑笑、鄒春明、宋好好、張艷、顧瑋、張嵐、馬海燕；2007年9月12月，編制小組對國標(biāo)委發(fā)布的6個公鑰基礎(chǔ)設(shè)施的國家標(biāo)準(zhǔn)進行研究，并參考了目前國標(biāo)委已經(jīng)發(fā)布的相關(guān)測試評價指南，如：GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價指南GB/T20277-2006網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價指南GB/T20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價指南GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價指南GB/T20945-2007信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價指南在研究的基礎(chǔ)上，結(jié)合對CA的測試經(jīng)驗，

4、完成了測試評價方法的標(biāo)準(zhǔn)初稿；2008年1月4月，編制小組根據(jù)測試評價方法標(biāo)準(zhǔn)初稿對實際產(chǎn)品進行檢測，根據(jù)測試的實際，進一步完善測試評價方法標(biāo)準(zhǔn)初稿；2008年5月10月，編制小組征求相關(guān)企業(yè)和專家意見，并不斷進行修改完善；2008年10月22日，WG4T作組組織了馮登國、袁文恭、荊繼武、吳亞非和崔書昆等專家，在北京應(yīng)物會議中心對本標(biāo)準(zhǔn)進行了項目中期檢查，與會專家對本標(biāo)準(zhǔn)提出了很好的建議和意見。會后根據(jù)專家意見，編制組對標(biāo)準(zhǔn)進行了修改完善和補充，例如增加根密鑰的分散保存問題、增加對測試環(huán)境的描述、增加對結(jié)果判據(jù)的描述、增加對評價方法的描述、增加綜合評價部分。具體內(nèi)容詳見意見匯總處理表(1)。2

5、009年1月，本標(biāo)準(zhǔn)在WG4：作組內(nèi)部進行了意見征求，信息安全國家重點實驗室、國家信息安全工程技術(shù)研究中心、天威誠信等成員單位對本標(biāo)準(zhǔn)提出了相關(guān)建議和意見。根據(jù)與會者所提意見，編制組對標(biāo)準(zhǔn)進行了修改完善。此次修改除了對標(biāo)準(zhǔn)中不明確的內(nèi)容進一步完善以外，根據(jù)測試環(huán)境圖給出公鑰基礎(chǔ)設(shè)施測試環(huán)境的詳細描述和對測試環(huán)境的技術(shù)要求。具體內(nèi)容詳見意見匯總處理表(2)。2009年4月，吳亞非和袁文恭兩位專家對標(biāo)準(zhǔn)提出了“評價適用范圍應(yīng)說明”、“對密碼用法做說明限制”等修改意見，根據(jù)專家意見，編制組進行了修改完善。具體內(nèi)容詳見意見匯總處理表(3)。2009年4月8日，WG4T作組在國家信息安全重點實驗室組織了

6、馮登國、袁文恭、荊繼武、關(guān)振勝、郭曉雷、李丹、何良生、謝永泉、高能等專家，對標(biāo)準(zhǔn)進行了評審。與會專家對標(biāo)準(zhǔn)提出了修改意見，根據(jù)專家意見，編制組進行了修改完善，如將標(biāo)準(zhǔn)名稱變更為：公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評價指南，將“公鑰基礎(chǔ)設(shè)施測試環(huán)境”作為資料性附錄等。具體內(nèi)容詳見意見匯總處理表(4)02009年11月12日，WG4T作組在北京應(yīng)物會議中心組織了崔書昆、袁文恭、吳亞非、王立福、趙戰(zhàn)生、荊繼武、李智虎、郝淑芬等專家，對標(biāo)準(zhǔn)(送審稿)進行了評審。與會專家對標(biāo)準(zhǔn)提出了修改意見，并建議修改后報批。根據(jù)專家意見，編制組進行了修改完善。具體內(nèi)容詳見意見匯總處理表(5)。3 .主要研究內(nèi)容本標(biāo)準(zhǔn)的主要研

7、究內(nèi)容為公鑰基礎(chǔ)設(shè)施的測試評價指南，根據(jù)國家頒布的公鑰基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)，為標(biāo)準(zhǔn)中的每一個測試項目，制定具體的測試評價指南和測試步驟，并準(zhǔn)確描述測試評價結(jié)果的判斷。本標(biāo)準(zhǔn)規(guī)定了對公鑰基礎(chǔ)設(shè)施的測試、評價方法，適用于對公鑰基礎(chǔ)設(shè)施的評測、研發(fā)和應(yīng)用。一、對于標(biāo)準(zhǔn)GB/T19713-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議，主要研究內(nèi)容為：(1)請求客戶端的測試評價指南，包括請求消息是否包含規(guī)定數(shù)據(jù)項，請求消息格式是否正確；(2)響應(yīng)服務(wù)器的測試評價指南，包括響應(yīng)消息是否包含規(guī)定數(shù)據(jù)項，響應(yīng)消息格式是否正確；(3)自身安全性測試評價指南。二、對于標(biāo)準(zhǔn)GB/T19714-2005信息技術(shù)安全

8、技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議，主要研究內(nèi)容為：(1)根CA初始化的測試評價指南；(2)根CA密鑰更新的測試評價指南；(3)下級CA初始化的測試評價指南；(4) CRLT生的測試評價指南；(5) PKI信息請求的測試評價指南；(6)交叉認(rèn)證的測試評價指南；(7)終端實體初始化的測試評價指南；(8) PKI信息獲得的測試評價指南；(9)根CA密鑰帶外驗證的測試評價指南；(10)證書請求的測試評價指南；(11)密鑰更新的測試評價指南；(12)傳輸協(xié)議的測試評價指南，包括基于文件的協(xié)議、基于TCP的管理協(xié)議、基于E-mail的管理協(xié)議、基于HTTP的管理協(xié)議。三、對于標(biāo)準(zhǔn)GB/T19771-2005信

9、息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范，主要研究內(nèi)容為：(1) RA發(fā)起的注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(2)新實體的自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)的和數(shù)據(jù)格式；(3)已知實體的自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(4)證書更新的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(9) PKCS#10自我注冊請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)的和數(shù)據(jù)格式；(6)撤銷請求的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(7)集中產(chǎn)生密鑰對和密鑰管理證書申請的測試評價指南，

10、包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(8)組合證書申請的測試評價指南，包括請求和回應(yīng)消息的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)格式；(9)從資料庫請求證書的測試評價指南；(10)從資料庫請求CRU勺測試評價指南。四、對于標(biāo)準(zhǔn)GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式，主要研究內(nèi)容為：(1)數(shù)字證書的測試評價指南，包括數(shù)字證書的數(shù)據(jù)項、數(shù)據(jù)格式、算法支持。五、對于標(biāo)準(zhǔn)GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范，主要研究內(nèi)容為：(1)屬性管理中心的相關(guān)協(xié)議測試評價指南，包括：代理點PA與屬性注冊機構(gòu)ARA間的通信協(xié)議、屬性注冊機構(gòu)ARA與屬性授權(quán)機構(gòu)AA間的通

11、信協(xié)議、屬性授權(quán)機構(gòu)AA與認(rèn)證機構(gòu)源SOA間的通信協(xié)議、密碼服務(wù)支持協(xié)議；(2)屬性證書發(fā)布模式的測試評價指南，包括：權(quán)限直接下載于應(yīng)用系統(tǒng)權(quán)限目錄列表模式、權(quán)限獨立下載于用戶公鑰數(shù)字證書模式、權(quán)限下載于公鑰證書擴展項模式、權(quán)限集中下載于權(quán)限數(shù)據(jù)庫模式；(3) PMI/AA的安全實施測試評價指南，包括：證書撤銷安全、算法強度安全、身份標(biāo)識安全、LDAP服務(wù)訪問安全、屬性內(nèi)容安全；(4) PMI應(yīng)用模型的測試評價指南，包括：AC(屬性證書)的要求、推模式、拉模式；(5)屬性證書的測試評價指南，包括屬性證書數(shù)據(jù)結(jié)構(gòu)和證書項目。六、對于標(biāo)準(zhǔn)GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)

12、范，主要研究內(nèi)容為：(1)時間戳的產(chǎn)生和頒發(fā)的測試評價指南，包括：申請和頒發(fā)的方式、可信時間的產(chǎn)生方法、時間的同步、申請和頒發(fā)過程；(2)時間戳管理的測試評價指南，包括：時間戳的保存、備份、檢索、刪除和銷毀、查看和驗證；(3)時間戳機構(gòu)(TSA的測試評價指南；(4)時間戳格式的測試評價指南，包括：密鑰標(biāo)識格式、時間表示格式、時問戳申請消息格式、時間戳響應(yīng)消息格式、保存文件格式、MIME對象格式、HTTP協(xié)議格式、時間戳格式安全性檢測；(5)時間戳系統(tǒng)安全的測試評價指南，包括：運行環(huán)境安全、可信時間源、簽名系統(tǒng)、時間戳數(shù)據(jù)庫、安全審計。4.標(biāo)準(zhǔn)主要結(jié)構(gòu)與內(nèi)容4.1. 主要結(jié)構(gòu)本標(biāo)準(zhǔn)的文本結(jié)構(gòu)分為

13、：前言、引言、范圍、規(guī)范性引用文件、術(shù)語和定義、公鑰基礎(chǔ)設(shè)施測試環(huán)境、公鑰基礎(chǔ)設(shè)施測試評價指南、綜合評價、附錄：評價項目總表、參考文獻。其中公鑰基礎(chǔ)設(shè)施測試環(huán)境給出了一個測試環(huán)境的示例圖。公鑰基礎(chǔ)設(shè)施測試評價指南根據(jù)6個標(biāo)準(zhǔn)，對應(yīng)分為6個部分，在每個部分按照標(biāo)準(zhǔn)的相關(guān)要求進行了測試項目的細分。綜合評價部分給出了對測試項目的綜合評價建議。附錄中將所有評價項目以表格的形式列出，以便于閱讀。具體文本結(jié)構(gòu)如下：、乙刖H引言1 .范圍2 .規(guī)范性引用文件3 .術(shù)語和定義4 .公鑰基礎(chǔ)設(shè)施測試評價指南4.1. 在線證書狀態(tài)協(xié)議測試評價指南4.1.1. 總則. 請求. 響應(yīng)4.1

14、.1.3. 異常情況. thisUpdate、nextUpdate和producedAt的語義. OCSP簽名機構(gòu)的委托. 密鑰泄露4.1.2. 功能要求. 證書內(nèi)容. 簽名響應(yīng)的接收要求4.1.3. 安全考慮4.2. 證書管理協(xié)議測試評價指南4.2.1. 必需的PKI管理功能. 根CA初始化. 根CA密鑰更新. 下級CA初始化. CRL產(chǎn)生. PKI信息請求. 交叉認(rèn)證. 終端實體初始化. 證書請求

15、. 密鑰更新4.2.2. 傳輸4.2.3. 必選的PKI管理消息結(jié)構(gòu). 初始的注冊/認(rèn)證（基本認(rèn)證方案）. 證書請求. 密鑰更新請求4.3. PKI組件最小互操作規(guī)范測試評價指南4.3.1. PKI組件規(guī)范. 證書認(rèn)證機構(gòu)（CA. 注冊機構(gòu)（RA. 證書持有者規(guī)范. 客戶規(guī)范4.3.2. 數(shù)據(jù)格式. 證書撤銷列表. 事務(wù)消息格式. PKI事務(wù)4.4. 數(shù)字證書格式測試評價指南4.4.1. 基本證書域的數(shù)據(jù)結(jié)構(gòu)4.4.2. TBSCertificate及其數(shù)

16、據(jù)結(jié)構(gòu). 版本version. 序列號serialnumber. 簽名算法signature. 頒發(fā)者issuer. 有效期validity. 主體subject. 主體公鑰信息SubjectPublicKeyInfo. 頒發(fā)者唯一標(biāo)識符IssuerUniqueID. 主體唯一標(biāo)識符SubjectUniqueID4.4.3. 證書擴展項. 標(biāo)準(zhǔn)擴展. 專用因特網(wǎng)擴展PrivateInternetExtensionsid-pkix4.5. 特定

17、權(quán)限管理中心技術(shù)規(guī)范測試評價指南4.5.1. 系統(tǒng)相關(guān)協(xié)議. 代理點PA與屬性注冊機構(gòu)ARA司的通信協(xié)議. 屬性注冊機構(gòu)ARAW屬性授權(quán)機構(gòu)AA間的通信協(xié)議. 屬性授權(quán)機構(gòu)AA與認(rèn)證機構(gòu)源SOA司的通信協(xié)議4.5.2. PMI/AA的安全實施. 證書撤銷安全. 算法強度安全. 身份標(biāo)識安全. LDAP服務(wù)訪問安全. 屬性內(nèi)容安全4.5.3. 屬性證書格式4.6. 時間戳規(guī)范測試評價指南4.6.1. 時間戳的產(chǎn)生和頒發(fā). 申請和頒發(fā)方式. 可信時間的產(chǎn)生方法

18、. 時間的同步. 申請和頒發(fā)過程4.6.2. 時間戳的管理. 時間戳的保存. 時間戳的備份. 時間戳的檢索. 時間戳的刪除和銷毀. 時間戳的查看和驗證4.6.3. 時間戳的格式. 對TSA的要求. 密鑰標(biāo)識. 時間的表示格式. 時間戳申請和響應(yīng)消息格式. 保存文件. 所用MIME寸象定義. 時間戳格式的安全考慮4.6.4. 時間戳系統(tǒng)的安全. 可信時間源. 審計5 .綜合評

19、價附錄A（資料性附錄）測試項目總表附錄B（資料性附錄）公鑰基礎(chǔ)設(shè)施測試環(huán)境示例4.2. 主要內(nèi)容4.2.1. 在線證書狀態(tài)協(xié)議測試評價指南該部分針對標(biāo)準(zhǔn)GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議提出具體的測試評價指南。主要測試評價項目為：在線證書狀態(tài)協(xié)議測試評價指南總則請求響應(yīng)異常情況thisUpdate、nextUpdate和producedAt的語義OCS第名機構(gòu)的委托密鑰泄露功能要求證書內(nèi)容簽名響應(yīng)的接收要求安全考慮4.2.2. 證書管理協(xié)議測試評價指南該部分針對標(biāo)準(zhǔn)GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議提出具體的測試評價指南。主要

20、測試評價項目為：證書管理協(xié)議測試評價指南必需的PKI管理功能根CA初始化根CA密鑰更新下級CA初始化CRL產(chǎn)生PKI信息請求交叉認(rèn)證終端實體初始化證書請求密鑰更新傳輸必選的PKI管理消息結(jié)構(gòu)初始的注冊/認(rèn)證（基本認(rèn)證方案）證書請求密鑰更新請求4.2.3. PKI組件最小互操作規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范提出具體的測試評價指南。主要測試評價項目為：PKI組件最小互操作規(guī)范測試評價指南PKI組件規(guī)范證書認(rèn)證機構(gòu)（CA）注冊機構(gòu)（RA）證書持有者規(guī)范客戶規(guī)范數(shù)據(jù)格式證書撤銷列表事務(wù)消息格式PKI事務(wù)4.2.4. 數(shù)字證

21、書格式測試評價指南該部分針對標(biāo)準(zhǔn)GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式提出具體的測試評價指南。主要測試評價項目為：數(shù)字證書格式測試評價指南基本證書域的數(shù)據(jù)結(jié)構(gòu)TBSCertificate及其數(shù)據(jù)結(jié)構(gòu)版本序列號簽名算法頒發(fā)者后效期主體主體公鑰信息頒發(fā)者唯一標(biāo)識符主體唯一標(biāo)識符標(biāo)準(zhǔn)擴展m/PC亭只專用因特網(wǎng)擴展4.2.5. 特定權(quán)限管理中心技術(shù)規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T20519-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范提出具體的測試評價指南。主要測試評價項目為：特定權(quán)限管理中心技術(shù)規(guī)范測試評價指南系統(tǒng)相關(guān)協(xié)議代理點PA與屬性注冊機構(gòu)ARA間的通信協(xié)議屬性注冊機構(gòu)ARAf屬性授權(quán)機構(gòu)AA間的通信協(xié)議屬性授權(quán)機構(gòu)AA與認(rèn)證機構(gòu)源SOA'用的通信協(xié)議PMI/AA的安全實施證書撤銷安全算法強度安全身份標(biāo)識安全LDAPI艮務(wù)訪問安全屬性內(nèi)容安全屬性證書格式4.2.6. 時間戳規(guī)范測試評價指南該部分針對標(biāo)準(zhǔn)GB/T20520-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范提出具體的測試評價指南。主要測試評價項目為：時間戳規(guī)范測試評價指南時間戳的產(chǎn)生和頒發(fā)申請和頒發(fā)方式可信時間的產(chǎn)生方法時間的同步申請和頒發(fā)過程時間戳的