(高清版)GBT 21054-2023 信息安全技術 公鑰基礎設施 PKI系統(tǒng)安全測評方法

代替GB/T21054—2007信息安全技術公鑰基礎設施PKI系統(tǒng)安全測評方法Securitytestingassessm2023-03-17發(fā)布國家標準化管理委員會I 12規(guī)范性引用文件 l3術語和定義 14縮略語 15概述 16安全功能測評方法 16.1密鑰管理通用要求測評方法 16.2系統(tǒng)密鑰管理 26.3訂戶密鑰管理 66.4模板管理 6.5證書管理 6.6身份鑒別 6.7訪問控制 6.8安全審計 6.9原發(fā)抗抵賴 6.10備份和恢復 6.11啟動和運行檢測 6.12組件間通信安全 7安全保障要求測評方法 7.1開發(fā) 7.2指導性文檔 7.3生命周期支持 7.4開發(fā)者測試 7.5脆弱性評定 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件代替GB/T21054—2007《信息安全技術公鑰基礎設施PKI系統(tǒng)安全等級保護評估準則》。與GB/T21054—2007相比，除結構調整和編輯性改動外，主要技術變化如下：a)將名稱修改為《信息安全技術公鑰基礎設施PKI系統(tǒng)安全測評方法》;b)對范圍的內容進行了修改(見第1章，2007年版的第1章);c)調整修改了規(guī)范性引用文件(見第2章，2007年版的第2章);d)增加了“概述”一章，對PKI系統(tǒng)通用的測評方法進行了描述(見第5章);e)將2007年版的第5章評估內容調整至新增的第6章安全功能測評方法和第7章安全保障測評方法(見第6章和第7章，2007年版的第5章);f)刪除了2007年版中關于物理安全的測評方法，將其中“數據輸入輸出”中關于原發(fā)抗抵賴的測請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國科學院軟件研究所、中國科學院大學、公安部第三研究所、公安部第一研究所、成都衛(wèi)士通信息產業(yè)股份有限公司、北京信安世紀科技股份有限公司、北京數字認證股份有限公司、長春吉大正元信息技術股份有限公司、格爾軟件股份有限公司、北京百度網訊科技有限公司、同智偉業(yè)軟件股份有限公司、北京軟件產品質量檢測檢驗中心、天津南大通用數據技術股份有限公司、西安西電捷通無線網絡通信股份有限公司、鄭州信大捷安信息技術股份有限公司、華為技術有限公司、國網區(qū)塊鏈科技(北京)有限公司、北京中電華大電子設計有限責任公司、中國電子科技集團公司第十五研究所、北京奇虎科技有限公司、北京創(chuàng)原天地科技有限公司、數安時代科技股份有限公司、中國信息通信研究院、亞數信息科技(上海)有限公司、廣州市百果園信息技術有限公司、廣州市網星信息技術有限公司、中金金融認證中心有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2007年首次發(fā)布為GB/T21054—2007;——本次為第一次修訂。1信息安全技術公鑰基礎設施PKI系統(tǒng)安全測評方法本文件依據GB/T21053—2023規(guī)定了PKI系統(tǒng)的安全測評方法，包括安全功能測評方法和安全保障要求測評方法。本文件適用于PKI系統(tǒng)的安全測評。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20518—2018信息安全技術公鑰基礎設施數字證書格式GB/T21053—2023信息安全技術公鑰基礎設施PKI系統(tǒng)安全技術要求GB/T25069信息安全技術術語GM/T0014—2012數字證書認證系統(tǒng)密碼協(xié)議規(guī)范3術語和定義GB/T21053—2023和GB/T25069界定的術語和定義適用于本文件。4縮略語GB/T21053—2023界定的縮略語適用于本文件。5概述本文件依據GB/T21053—2023規(guī)定的PKI系統(tǒng)的安全級別及相應級別的安全技術要求，給出了對應的安全測評方法。PKI系統(tǒng)的典型框架、安全功能及安全級別劃分見GB/T21053—2023中第5章。對于基本級的PKI系統(tǒng)，依據本文件第6章和第7章中與基本級安全要求對應的測評方法進行測評；對于增強級的PKI系統(tǒng)，依據本文件第6章和第7章中與增強級安全要求對應的測評方法進行測評。完成所有安全要本文件中，使用“宋體加粗”的文字表示增強級PKI系統(tǒng)在基應的測評方法。6安全功能測評方法6.1密鑰管理通用要求測評方法密鑰管理通用要求部分的測試方法、預期結果和結果判定如下。2a)測試方法：1)查看PKI系統(tǒng)的密鑰管理方案并確認密鑰管理功能的實現方式；2)通過核對證明材料等方式，驗證PKI系統(tǒng)的密鑰管理功能實現中密碼產品使用情況；3)執(zhí)行密鑰生成操作的密鑰有效期設置，驗證PKI系統(tǒng)的有效期設置功能。b)預期結果：1)PKI系統(tǒng)文檔中規(guī)定了密鑰管理方案，能夠根據密鑰管理方案提供對應的密鑰管理功能；2)PKI系統(tǒng)實現密鑰管理功能時，密碼產品的使用符合GB/T21053—2023中6.1b)的要求；3)PKI系統(tǒng)能提供密鑰有效期設置功能，并在生成系統(tǒng)密鑰和訂戶密鑰時根據策略為密鑰設置有效期。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.2系統(tǒng)密鑰管理系統(tǒng)密鑰生成部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行系統(tǒng)密鑰生成操作，驗證PKI系統(tǒng)的系統(tǒng)密鑰生成時密碼產品的使用情況；2)在執(zhí)行密鑰生成操作時，驗證PKI系統(tǒng)的系統(tǒng)密鑰生成時密碼模塊的使用情況；3)使用具有不同權限的用戶執(zhí)行系統(tǒng)密鑰生成操作，驗證PKI系統(tǒng)密鑰生成操作中的權限驗證功能；4)在執(zhí)行密鑰生成操作時，驗證PKI系統(tǒng)CA密鑰生成過程的權限控制情況；5)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了系統(tǒng)密鑰生成方法。b)預期結果：1)PKI系統(tǒng)的系統(tǒng)密鑰生成過程密碼產品的使用符合GB/T21053—2023中6.2.1a)的要求；2)PKI系統(tǒng)的系統(tǒng)密鑰生成過程密碼產品的使用符合GB/T21053—2023中6.2.1b)的要求；3)PKI系統(tǒng)能提供密鑰生成操作的權限驗證功能，在密鑰生成時檢查用戶角色，防止未授權操作；4)PKI系統(tǒng)的權限驗證功能能夠確保只有多于一個管理員角色的用戶同時進行操作時才能啟動PKI系統(tǒng)的CA密鑰生成過程；5)PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰生成方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰存儲部分的測試方法、預期結果和結果判定如下。a)測試方法：1)查看PKI系統(tǒng)存儲系統(tǒng)密鑰的設備或文件，驗證PKI系統(tǒng)的系統(tǒng)密鑰存儲功能；2)訪問密鑰存儲設備，驗證PKI系統(tǒng)的系統(tǒng)密鑰存儲階段密碼產品的使用情況；3)確認PKI系統(tǒng)CA簽名私鑰的存儲方式；4)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了系統(tǒng)密鑰存儲方法和密鑰泄露時的應急處置措施。b)預期結果：1)PKI系統(tǒng)能提供系統(tǒng)密鑰存儲功能，系統(tǒng)密鑰的私鑰和秘密密鑰部分均以加密形式存儲；2)PKI系統(tǒng)中各類系統(tǒng)密鑰的存儲方式及使用的密碼產品符合GB/T21053—2023中6.2.2b)的要求；3)PKI系統(tǒng)CA簽名私鑰的存儲符合GB/T21053—2023中6.2.2c)的要求；34)PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰的存儲方法和密鑰泄露時的應急處置措施。實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰傳送與分發(fā)部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對已生成的系統(tǒng)密鑰執(zhí)行傳送與分發(fā)操作，驗證PKI系統(tǒng)部件密鑰的傳送與分發(fā)方式，以及相關的保護措施；2)在執(zhí)行密鑰傳送與分發(fā)時，驗證PKI系統(tǒng)用戶密鑰的傳送與分發(fā)方式，以及相關的保護3)在執(zhí)行密鑰傳送與分發(fā)時，驗證PKI系統(tǒng)CA公鑰的分發(fā)方法，以及相關的完整性保護4)驗證1)和2)中加密程序密碼產品的使用情況。b)預期結果：1)PKI系統(tǒng)部件密鑰發(fā)送到PKI系統(tǒng)部件中時，具有完整性保護措施，私鑰和秘密密鑰部分以加密形式直接發(fā)送；2)PKI系統(tǒng)用戶密鑰發(fā)送到PKI系統(tǒng)用戶的證書載體中時，具有完整性保護措施，私鑰和秘密密鑰部分以加密形式直接發(fā)送；3)PKI系統(tǒng)能提供可行的CA公鑰分發(fā)方法，并具有完整性保護措施；實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰導入導出部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對已生成的系統(tǒng)密鑰執(zhí)行導入導出操作，驗證PKI系統(tǒng)的系統(tǒng)密鑰導入導出方式，以及相關2)在執(zhí)行密鑰導入導出時，驗證PKI系統(tǒng)密鑰的導入導出過程中，私鑰和秘密密鑰部分的加密件密鑰和CA簽名私鑰使用密碼產品加密保護的情況。b)預期結果：1)密鑰導入或導出PKI系統(tǒng)時，采取了有效的措施，保證密鑰的安全；2)PKI系統(tǒng)密鑰的導入導出過程中，私鑰和秘密密鑰部分始終以加密形式存在；3)PKI系統(tǒng)密鑰的導入導出過程中，PKI系統(tǒng)密鑰使用的密碼產品符合GB/T21053—2023中c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰使用部分的測試方法、預期結果和結果判定如下。對已生成的系統(tǒng)密鑰執(zhí)行加密、簽名等密鑰使用操作，驗證PKI系統(tǒng)的密鑰使用功能，以及相關的權限管理機制。b)預期結果：4PKI系統(tǒng)能提供密鑰使用權限管理功能，將PKI系統(tǒng)的系統(tǒng)密鑰與正確實體相關聯，并賦予相應的權限，對非授權實體的密鑰使用操作能夠予以拒絕。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰備份部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對PKI系統(tǒng)密鑰執(zhí)行密鑰備份操作，驗證PKI系統(tǒng)的CA簽名密鑰備份功能；2)選擇CA系統(tǒng)密鑰以外的系統(tǒng)密鑰執(zhí)行密鑰備份操作，驗證PKI系統(tǒng)除CA簽名密鑰外的系統(tǒng)密鑰備份功能；3)訪問PKI系統(tǒng)存儲系統(tǒng)密鑰備份的設備或模塊，驗證PKI系統(tǒng)的系統(tǒng)密鑰備份存儲方式；4)訪問PKI系統(tǒng)存儲CA密鑰備份的設備或模塊，驗證PKI系統(tǒng)CA簽名私鑰備份存儲時的加5)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了密鑰備份方法，包括：密鑰備份操作流程、采用的密鑰備份方法等。b)預期結果：1)PKI系統(tǒng)支持對CA簽名密鑰的備份功能；2)PKI系統(tǒng)能夠提供系統(tǒng)密鑰備份功能，對PKI系統(tǒng)部件密鑰和系統(tǒng)用戶密鑰進行備份；3)PKI系統(tǒng)密鑰的備份存儲符合GB/T21053—2023中6.2.6c)的要求；4)CA簽名私鑰備份以加密形式存儲，包含CA私鑰信息的存放部件具備有效的訪問控制機5)PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰的備份方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰恢復部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行CA簽名密鑰恢復操作，驗證PKI系統(tǒng)的CA簽名密鑰恢復功能；2)選擇CA簽名密鑰以外的密鑰，執(zhí)行密鑰恢復操作，驗證PKI系統(tǒng)的系統(tǒng)密鑰恢復功能；3)對作為備份存儲的密鑰執(zhí)行密鑰恢復操作，確認密鑰恢復操作的權限控制機制；4)對作為歸檔存儲的密鑰執(zhí)行密鑰恢復操作，確認密鑰恢復操作的權限控制機制；5)在密鑰恢復過程中，驗證私鑰和秘密密鑰的加密情況；6)在CA簽名私鑰恢復過程中，驗證人員權限確認和環(huán)境可信保護機制；7)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了密鑰恢復方法。b)預期結果：1)PKI系統(tǒng)能夠提供CA簽名密鑰恢復功能，允許必要時對CA簽名密鑰進行恢復，保證系統(tǒng)的可用性；2)PKI系統(tǒng)能夠提供系統(tǒng)密鑰恢復功能，允許必要時對備份和歸檔的密鑰進行恢復；3)對于作為備份存儲的密鑰，只有密鑰所有者能夠執(zhí)行密鑰恢復操作；4)對于作為歸檔存儲的密鑰，PKI系統(tǒng)在恢復密鑰前能夠驗證申請者的身份，只有具有相應權限的實體能夠執(zhí)行密鑰恢復操作；5)密鑰恢復過程中，私鑰和秘密密鑰以加密形式存在，且無法被未授權地泄露或修改；6)在CA簽名私鑰恢復過程中，實施了人員權限確認和環(huán)境可信保護機制，只有多個被授權的人同時使用存有密鑰信息的部件才能進行，恢復環(huán)境安全可信，不危及密鑰信息的安全性或暴露簽名私鑰，分布式方案的使用符合GB/T21053—2023中5GB/T21054—20237)對于支持密鑰恢復的系統(tǒng)密鑰，PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰的恢復方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰私鑰歸檔部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對PKI系統(tǒng)密鑰私鑰執(zhí)行歸檔操作，驗證PKI系統(tǒng)的系統(tǒng)密鑰私鑰歸檔功能，驗證私鑰歸檔的安全保護措施；2)分析密鑰歸檔記錄，驗證PKI系統(tǒng)對歸檔密鑰類型的區(qū)分情況；3)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了PKI系統(tǒng)密鑰的私鑰歸檔方法，包括：執(zhí)行密鑰歸檔的條件、密鑰歸檔的對象、執(zhí)行密鑰歸檔操作的具體流程等。b)預期結果：1)PKI系統(tǒng)的系統(tǒng)密鑰私鑰歸檔功能符合GB/T21053—2023中6.2.8.1a)的要求，在私鑰歸檔時具備有效的安全保護措施，防止私鑰泄露；2)PKI系統(tǒng)能夠區(qū)分用于簽名的私鑰和用于解密數據的私鑰，確保簽名私鑰不能被歸檔；3)PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰的歸檔方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰公鑰歸檔部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對PKI系統(tǒng)密鑰私鑰執(zhí)行歸檔操作，驗證PKI系統(tǒng)的公鑰歸檔功能；2)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了PKI系統(tǒng)密鑰的公鑰歸檔方法，包括：執(zhí)行密鑰歸檔的條件、密鑰歸檔的對象、執(zhí)行密鑰歸檔操作的具體流程等。b)預期結果：1)PKI系統(tǒng)能夠提供系統(tǒng)密鑰的公鑰歸檔功能，在數字證書從目錄中移除后，支持通過歸檔的密鑰驗證數字簽名；2)PKI系統(tǒng)文檔明確規(guī)定了系統(tǒng)密鑰的公鑰歸檔方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰銷毀部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對已生成的PKI系統(tǒng)密鑰執(zhí)行銷毀操作，驗證PKI系統(tǒng)的密鑰銷毀功能，確認密鑰銷毀方式以及過程中的權限驗證機制；2)對CA簽名私鑰執(zhí)行銷毀操作，確認CA簽名私鑰的銷毀方式以及過程中的權限驗證機制；3)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了系統(tǒng)密鑰銷毀方法，包括：執(zhí)行密鑰銷毀人員應具有的權限、密鑰銷毀流程等。b)預期結果：1)PKI系統(tǒng)能夠提供系統(tǒng)密鑰的密鑰銷毀功能，密鑰銷毀方法具有不可逆性，并包含對執(zhí)行人權限的確認，不具有權限的人員不能執(zhí)行密鑰銷毀程序；2)CA簽名私鑰的密鑰銷毀只有多個管理員同時在場才能執(zhí)行，銷毀過程包括多道銷毀程序；63)PKI系統(tǒng)支持系統(tǒng)密鑰的密鑰銷毀功能，并在文檔中明確規(guī)定了系統(tǒng)密鑰的銷毀方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。PKI系統(tǒng)密鑰更新部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對已生成的PKI系統(tǒng)密鑰執(zhí)行密鑰更新操作，驗證PKI系統(tǒng)中系統(tǒng)密鑰的更新功能；2)在密鑰更新過程中，依據6.2.1中的測試方法對CA密鑰及證書更新中新密鑰對的生成進行3)在密鑰更新過程中，依據6.2.3中的測試方法對CA密鑰及證書更新中新公鑰的分發(fā)進行4)在密鑰更新過程中，依據6.2.8中的測試方法對CA密鑰及證書更新中舊密鑰對的歸檔進行5)在密鑰更新過程中，依據6.2.9中的測試方法對CA密鑰及證書更新中舊私鑰的銷毀進行6)查看PKI系統(tǒng)文檔，驗證是否對CA密鑰更新時PKI系統(tǒng)服務的安全性和連續(xù)性進行了明確說明，驗證相關措施是否在PKI系統(tǒng)中得到了實施；7)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了CA密鑰及證書的更新方法，包括：執(zhí)行密鑰更新的條件、允許執(zhí)行密鑰更新的用戶、密鑰更新的具體流程等。b)預期結果：1)PKI系統(tǒng)能夠提供系統(tǒng)密鑰的密鑰更新功能；2)新密鑰對的生成的預期結果與6.2.1一致；3)新公鑰的分發(fā)的預期結果與6.2.3一致；4)舊密鑰對的歸檔的預期結果與6.2.8一致；5)舊私鑰的銷毀的預期結果與6.2.9一致；6)PKI系統(tǒng)文檔中對保障CA密鑰更新時PKI系統(tǒng)服務的安全性和連續(xù)性的措施進行了說7)PKI系統(tǒng)文檔明確規(guī)定了CA密鑰及證書的更新方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.3訂戶密鑰管理根據GB/T21053—2023,PKI系統(tǒng)的訂戶密鑰包括訂戶簽名密鑰對和用于實現保密性保護的密鑰對。本文件的6.3.2～6.3.11給出了訂戶密鑰管理的測評方法。訂戶密鑰生成部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶密鑰生成操作，驗證PKI系統(tǒng)訂戶簽名密鑰的生成方式；2)在執(zhí)行訂戶密鑰生成操作時，驗證PKI系統(tǒng)為訂戶密鑰生成提供的相關機制；3)執(zhí)行訂戶密鑰生成操作，驗證PKI系統(tǒng)是否提供訂戶密鑰生成功能，查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了訂戶密鑰生成方法。b)預期結果：1)PKI系統(tǒng)訂戶的簽名私鑰由其自己生成；72)PKI系統(tǒng)能夠提供訂戶密鑰生成相關機制，確保訂戶密鑰生成符合GB/T21053—2023中6.3.2b)的要求；3)PKI系統(tǒng)能提供訂戶密鑰生成功能，并在文檔中明確規(guī)定了訂戶密鑰生成方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰存儲部分的測試方法、預期結果和結果判定如下。a)測試方法：1)查看PKI系統(tǒng)存儲訂戶密鑰的設備或文件，驗證PKI系統(tǒng)的訂戶私鑰在存儲時的加密機制和密碼產品使用情況；2)查看PKI系統(tǒng)存儲訂戶密鑰的設備或文件，驗證PKI系統(tǒng)是否提供了訂戶密鑰存儲功能。查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了訂戶密鑰存儲方法和密鑰泄露時的應急處置措施。b)預期結果：1)PKI系統(tǒng)的訂戶私鑰存儲符合GB/T21053—2023中6.3.3a)的要求；2)PKI系統(tǒng)能夠提供訂戶密鑰存儲功能，PKI系統(tǒng)文檔明確規(guī)定了訂戶密鑰的存儲方法和密鑰泄露時的應急處置措施。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.3.4密鑰傳送與分發(fā)訂戶密鑰傳送與分發(fā)部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶密鑰傳送與分發(fā)操作，驗證PKI系統(tǒng)的訂戶密鑰傳送與分發(fā)功能，對于由訂戶自己生成的密鑰，驗證訂戶向CA提交密鑰時的完整性保護機制；2)在訂戶密鑰傳送與分發(fā)操作過程中，對于訂戶委托CA生成的密鑰，驗證CA向用戶傳送與分發(fā)私鑰時的機密性保護機制；3)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了訂戶密鑰傳送方法。b)預期結果：1)PKI系統(tǒng)能提供訂戶密鑰傳送與分發(fā)功能。如果訂戶自己生成密鑰對，PKI系統(tǒng)能夠接收訂戶向CA提交的密鑰，并對訂戶公鑰應用了完整性保護機制；2)如果訂戶委托CA生成密鑰對，PKI系統(tǒng)能夠通過CA以加密形式向訂戶進行訂戶密鑰傳送與分發(fā)；3)PKI系統(tǒng)文檔明確規(guī)定了訂戶密鑰傳送方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.3.5密鑰導入導出訂戶密鑰導入導出部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對已生成的訂戶密鑰執(zhí)行密鑰導入導出操作，確認PKI系統(tǒng)是否支持訂戶密鑰導入導出，如果支持，驗證PKI系統(tǒng)文檔中關于訂戶密鑰導入導出方法部分的規(guī)定；2)在密鑰導入導出過程中，驗證PKI系統(tǒng)是否能夠提供訂戶密鑰導入導出功能和相關安全措施；3)如果PKI系統(tǒng)支持訂戶密鑰導入導出，則驗證訂戶密鑰導入導出過程中，私鑰的加密情況。b)預期結果：81)如果PKI系統(tǒng)支持訂戶密鑰導入導出，則PKI系統(tǒng)文檔中規(guī)定了訂戶密鑰導入導出方法；3)如果PKI系統(tǒng)支持訂戶密鑰導入導出，則PKI系統(tǒng)密鑰的導入導出過程中，私鑰始終以加密形式存在。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰使用部分的測試方法、預期結果和結果判定如下。a)測試方法：對已生成的訂戶密鑰執(zhí)行加密、前面等密鑰使用操作，驗證PKI系統(tǒng)的密鑰使用功能，以及相關的權限管理機制。b)預期結果：PKI系統(tǒng)能提供密鑰使用權限管理功能，將PKI系統(tǒng)的訂戶密鑰與正確實體相關聯，并賦予相應的權限，對非授權實體的密鑰使用操作能夠予以拒絕。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰備份部分的測試方法、預期結果和結果判定如下。a)測試方法：1)查看PKI系統(tǒng)文檔，驗證其中是否規(guī)定了訂戶密鑰備份方法，包括：密鑰備份操作的密鑰備份方法等；2)執(zhí)行訂戶密鑰備份操作，驗證PKI系統(tǒng)的訂戶簽名私鑰的備份方式；3)查看PKI系統(tǒng)中訂戶密鑰的備份設備或文件，驗證PKI系統(tǒng)訂戶加密密鑰的備份情況，并驗證由PKI系統(tǒng)進行備份的訂戶加密密鑰的存儲情況。b)預期結果：1)PKI系統(tǒng)文檔明確規(guī)定了訂戶密鑰的備份方法；2)PKI系統(tǒng)的訂戶簽名私鑰由用戶自行備份；3)如果PKI系統(tǒng)的訂戶加密密鑰由PKI系統(tǒng)備份，則PKI系統(tǒng)能夠提供系統(tǒng)密鑰備份功能，訂戶密鑰備份存儲使用的密碼產品符合GB/T21053—2023中6.3.7c)的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰恢復部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶密鑰恢復操作，驗證PKI系統(tǒng)的訂戶密鑰恢復功能；2)在密鑰恢復過程中，驗證私鑰的加密情況；3)如果PKI系統(tǒng)支持訂戶密鑰恢復，查看PKI系統(tǒng)文檔，驗證其中是否規(guī)定了密鑰恢復方法。b)預期結果：1)如果PKI系統(tǒng)支持訂戶密鑰備份，PKI系統(tǒng)能夠提供訂戶密鑰恢復功能，允許必要時對由PKI系統(tǒng)備份的密鑰進行恢復；2)密鑰恢復過程中，私鑰信息以加密形式存在，且無法被未授權地泄露或修改；3)如果PKI系統(tǒng)支持訂戶密鑰恢復，則PKI系統(tǒng)文檔規(guī)定了系統(tǒng)密鑰的恢復方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。9GB/T21054—2023訂戶密鑰私鑰歸檔部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶私鑰歸檔操作，驗證PKI系統(tǒng)的訂戶密鑰歸檔功能；2)分析密鑰歸檔記錄，驗證PKI系統(tǒng)對歸檔密鑰類型的區(qū)分情況；3)查看PKI系統(tǒng)文檔，驗證其中是否規(guī)定了訂戶密鑰的私鑰歸檔方法，包括：執(zhí)行密鑰歸檔的條件、密鑰歸檔的對象、執(zhí)行密鑰歸檔操作的具體流程等。b)預期結果：1)PKI系統(tǒng)能夠提供訂戶密鑰歸檔功能，對需要被歸檔的私鑰進行歸檔；2)PKI系統(tǒng)能夠區(qū)分用于簽名的私鑰和用于解密數據的私鑰，確保簽名私鑰不能被歸檔；3)PKI系統(tǒng)文檔規(guī)定了訂戶密鑰的歸檔方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰公鑰歸檔部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶公鑰歸檔操作，驗證PKI系統(tǒng)的訂戶公鑰歸檔功能；2)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了訂戶密鑰的公鑰歸檔方法，包括：執(zhí)行密鑰歸檔的條件、密鑰歸檔的對象、執(zhí)行密鑰歸檔操作的具體流程等。b)預期結果：1)PKI系統(tǒng)能夠提供訂戶密鑰的公鑰歸檔功能，在數字證書從目錄中移除后，支持通過歸檔的密鑰驗證數字簽名；2)PKI系統(tǒng)文檔明確規(guī)定了訂戶密鑰的公鑰歸檔方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰銷毀部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行訂戶密鑰銷毀操作，驗證由PKI系統(tǒng)管理的訂戶密鑰的銷毀程序；2)執(zhí)行訂戶密鑰銷毀操作，驗證PKI系統(tǒng)的訂戶密鑰銷毀功能，并查看PKI系統(tǒng)文檔中是否規(guī)定了訂戶密鑰銷毀方法。b)預期結果：1)當由PKI系統(tǒng)管理的訂戶密鑰被銷毀時，訂戶密鑰的銷毀過程不可逆；2)PKI系統(tǒng)支持訂戶密鑰銷毀，并在系統(tǒng)文檔中規(guī)定了訂戶密鑰的銷毀方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。訂戶密鑰更新部分的測試方法、預期結果和結果判定如下。a)測試方法：1)對訂戶密鑰執(zhí)行密鑰更新操作，依據6.3.2中的測試方法對訂戶密鑰及證書更新中新密鑰的生成進行測評；2)在密鑰更新過程中，依據6.3.4中的測試方法對訂戶密鑰及證書更新中新密鑰的分發(fā)進行測評；3)在密鑰更新過程中，依據6.3.9中的測試方法對訂戶密鑰及證書更新中舊密鑰對的歸檔進行測評；4)在密鑰更新過程中，依據6.3.10中的測試方法對訂戶密鑰及證書更新中舊密鑰的銷毀進行測評；5)對訂戶密鑰執(zhí)行密鑰更新操作，驗證PKI系統(tǒng)的訂戶密鑰更新功能，查看PKI系統(tǒng)文檔，驗證是否對訂戶密鑰更新時的安全性進行了明確說明；6)查看PKI系統(tǒng)文檔，驗證其中是否明確規(guī)定了訂戶密鑰及證書的更新方法，包括：執(zhí)行密鑰更新的條件、允許執(zhí)行密鑰更新的用戶、密鑰更新的具體流程等。b)預期結果：1)新密鑰的生成的預期結果與6.3.2一致；2)新密鑰的分發(fā)的預期結果與6.3.4一致；3)舊密鑰的歸檔的預期結果與6.3.9一致；4)舊密鑰的銷毀的預期結果與6.3.10一致；5)PKI系統(tǒng)支持訂戶密鑰的密鑰更新，在訂戶密鑰更新時采取了安全措施保證訂戶密鑰的安全性；6)PKI系統(tǒng)文檔明確規(guī)定了訂戶密鑰及證書的更新方法。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.4模板管理根據GB/T21053—2023,在PKI系統(tǒng)中，可預先根據應用場景定義證書、CRL和OCSP響應中字段和擴展可能的值，包含這些信息的數據稱為模板。證書模板管理部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行PKI系統(tǒng)的證書模板管理操作，驗證PKI系統(tǒng)的證書模板管理功能及通過證書模板定義的證書中字段和擴展可能的值；2)執(zhí)行證書頒發(fā)操作獲取證書，驗證證書的內容與證書模板的一致性；3)查看PKI系統(tǒng)發(fā)布的證書，驗證PKI系統(tǒng)發(fā)布證書時，字段和擴展預先被指定的情況。b)預期結果：1)PKI系統(tǒng)能提供證書模板管理功能，管理員可通過證書模板預先定義證書中的字段和擴展可能的值，字段和擴展?jié)M足GB/T21053—2023中6.4.2的要求；2)PKI系統(tǒng)能夠確保發(fā)布的證書與證書模板中的描述一致；3)PKI系統(tǒng)發(fā)布證書時，GB/T21053—2023中6.4.2列出的字段和擴展的值均已預先被指定。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.4.3證書撤銷列表模板管理證書撤銷列表模板管理部分的測試方法、預期結果和結果判定如下。a)測試方法：1)確定PKI系統(tǒng)是否發(fā)布CRL,如果發(fā)布，執(zhí)行PKI系統(tǒng)的CRL模板管理操作，驗證PKI系統(tǒng)的CRL模板管理功能及通過CRL模板定義的證書中字段和擴展可能的值；GB/T21054—20232)執(zhí)行CRL管理操作生成CRL,驗證CRL的內容與CRL模板的一致性；3)查看PKI系統(tǒng)發(fā)布的CRL,驗證PKI系統(tǒng)發(fā)布CRL時，字段和擴展預先被指定的情況。b)預期結果：1)如果PKI系統(tǒng)發(fā)布CRL,則PKI系統(tǒng)能提供CRL模板管理功能，管理員可通過CRL模板預先定義CRL中的字段和擴展可能的值，字段和擴展?jié)M足GB/T21053—2023中6.4.3的要求；2)PKI系統(tǒng)能夠確保發(fā)布的CRL與CRL模板中的描述一致；3)PKI系統(tǒng)發(fā)布CRL時，GB/T21053—2023中6.4.3列出的字段和擴展的值均已預先被指定。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.4.4在線證書狀態(tài)協(xié)議模板管理在線證書狀態(tài)協(xié)議模板管理部分的測試方法、預期結果和結果判定如下。a)測試方法：1)確定PKI系統(tǒng)是否發(fā)布OCSP響應，如果發(fā)布，執(zhí)行PKI系統(tǒng)的OCSP模板管理操作，驗證PKI系統(tǒng)的OCSP模板管理功能及通過OCSP模板定義的證書中字段和擴展可能的值；2)通過發(fā)送OCSP請求獲取OCSP響應，驗證OCSP響應的內容與OCSP模板的一致性；3)獲取PKI系統(tǒng)發(fā)布的OCSP響應消息，驗證PKI系統(tǒng)發(fā)布OCSP響應時，字段和擴展預先被指定的情況。b)預期結果：1)如果PKI系統(tǒng)發(fā)布OCSP響應，則PKI系統(tǒng)能提供OCSP模板管理功能，管理員可通過OCSP模板預先定義OCSP響應中的字段和擴展可能的值，字段和擴展?jié)M足GB/T21053—2)PKI系統(tǒng)能夠確保發(fā)布的OCSP響應與OCSP模板中的描述一致；3)PKI系統(tǒng)發(fā)布OCSP響應時，GB/T21053—2023中6.4.4列出的字段和擴展的值均已預先c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.5證書管理證書管理通用要求部分的測試方法、預期結果和結果判定如下。a)測試方法：查看PKI系統(tǒng)文檔中證書管理方法相關內容，并依據文檔驗證PKI系統(tǒng)的證書管理功能。b)預期結果：PKI系統(tǒng)文檔中明確規(guī)定了驗證證書管理方法，并提供了相應的證書注冊、證書生成和證書撤銷等證書管理功能。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。證書注冊部分的測試方法、預期結果和結果判定如下。a)測試方法：生成證書請求，提交至PKI系統(tǒng)執(zhí)行證書注冊流程，驗證PKI系統(tǒng)對輸入證書字段和擴展中的數據的校驗和批準機制。b)預期結果：PKI系統(tǒng)能通過證書注冊功能中實現對輸入證書字段和擴展中的數據進行校驗和批準，校驗和批準方式符合GB/T21053—2023中6.5.2的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。證書生成部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行證書注冊流程獲取證書，檢查PKI系統(tǒng)生成的證書，采用數字證書格式合規(guī)檢測工具等驗證其格式是否符合GB/T20518—2018的要求；2)若PKI系統(tǒng)允許用戶密鑰對由用戶生成，則由用戶生成密鑰對并執(zhí)行證書請求，驗證PKI系統(tǒng)對證書主體持有私鑰的驗證情況。b)預期結果：1)PKI系統(tǒng)生成的數字證書格式符合GB/T20518—2018的要求；2)若PKI系統(tǒng)允許用戶密鑰對由用戶生成，則PKI系統(tǒng)能夠對證書主體擁有與證書中包含的公鑰相對應的私鑰進行驗證，不持有與公鑰對應的私鑰情況下，證書注冊請求無法完成。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.5.4.1采用證書撤銷列表的證書撤銷采用證書撤銷列表的證書撤銷部分的測試方法、預期結果和結果判定如下。a)測試方法：確定PKI系統(tǒng)是否發(fā)布CRL,如果發(fā)布，執(zhí)行CRL發(fā)布操作并查看生成的CRL文件，驗證PKI系統(tǒng)的CRL發(fā)布機制。b)預期結果：如果PKI系統(tǒng)發(fā)布CRL,則PKI系統(tǒng)能夠提供CRL驗證功能，對發(fā)布的CRL進行驗證，確保發(fā)布的CRL的所有必要項的值符合GB/T20518—2018中5.3的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。采用OCSP的證書撤銷部分的測試方法、預期結果和結果判定如下。a)測試方法：確定PKI系統(tǒng)是否發(fā)布OCSP響應，如果發(fā)布，通過發(fā)送OCSP請求的方式獲取OCSP響應，并對獲取到的OCSP響應消息進行查看，驗證PKI系統(tǒng)的OCSP響應功能。b)預期結果：如果PKI系統(tǒng)發(fā)布OCSP響應，則PKI系統(tǒng)能夠提供OCSP響應驗證功能，確保返回的OCSP響應的所有必要項的值符合GM/T0014—2012中5.6的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。證書更新部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行證書更新流程對已發(fā)布的訂戶證書進行更新，驗證PKI系統(tǒng)的證書更新功能，并驗證證書更新時的密鑰更新過程；2)執(zhí)行CA證書更新流程對CA證書進行更新，驗證PKI系統(tǒng)在此過程中服務的安全性和連3)通過證書更新流程驗證PKI系統(tǒng)的更新后證書的發(fā)布方式及其中的安全措施。b)預期結果：1)PKI系統(tǒng)支持證書更新功能，當證書更新中涉及密鑰更新時，符合6.2.10和6.3.11中的安全2)CA證書更新時，PKI系統(tǒng)能夠保證服務的安全性和連續(xù)性；3)PKI系統(tǒng)在發(fā)布更新后證書的過程中采取了相應的安全措施。實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。證書變更部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行證書變更流程，對已發(fā)布的證書中的部分信息進行變更，驗證PKI系統(tǒng)的證書變更2)驗證PKI系統(tǒng)的變更后證書的發(fā)布方式及其中的安全措施。b)預期結果：1)PKI系統(tǒng)支持證書變更功能；2)PKI系統(tǒng)在發(fā)布變更后證書的過程中采取了相應的安全措施。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。用戶鑒別部分的測試方法、預期結果和結果判定如下。a)測試方法：1)訪問PKI系統(tǒng)，驗證PKI系統(tǒng)的用戶身份鑒別功能，并在不進行鑒別的情況下，執(zhí)行與安全2)在執(zhí)行操作的過程中，驗證PKI系統(tǒng)是否提供了安全無關操作的定義和相應處理機制；3)結合PKI系統(tǒng)的文檔和登錄過程中的實際操作，驗證PKI系統(tǒng)支持的用戶鑒別機制的定義入的口令被顯示。b)預期結果：1)PKI系統(tǒng)能夠提供用戶身份鑒別功能，在用戶執(zhí)行動作時，對系統(tǒng)用戶和訂戶進行身份鑒2)PKI系統(tǒng)定義了適當的在標識用戶前可由PKI系統(tǒng)代表用戶執(zhí)行的，與安全無關的動作；在3)PKI系統(tǒng)在文檔中明確規(guī)定了所支持的用戶鑒別機制的類型，并能夠向用戶提供支持的全部用戶鑒別機制；4)用戶鑒別時，PKI系統(tǒng)的顯示和操作不存在泄露用戶鑒別數據的情況。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.6.2多因素身份鑒別多因素身份鑒別部分的測試方法、預期結果和結果判定如下。a)測試方法：1)訪問PKI系統(tǒng)并執(zhí)行多因素身份鑒別，確認PKI系統(tǒng)實現的鑒別機制，驗證PKI系統(tǒng)對使用不同鑒別機制鑒別和多因素鑒別的支持情況；2)在進行身份鑒別時，驗證多因素鑒別允許使用的鑒別機制組合的情況。b)預期結果：1)PKI系統(tǒng)能夠提供多因素身份鑒別機制，支持對不同身份的用戶使用不同的鑒別機制，以及對同一用戶同時使用多種鑒別過程進行多因素鑒別；2)對同一用戶同時使用多種鑒別過程進行多因素鑒別時，所使用的鑒別機制中均包含基干數字證書的鑒別機制。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。鑒別失敗處理部分的測試方法、預期結果和結果判定如下。a)測試方法：1)通過輸入錯誤的口令、密鑰等方式，執(zhí)行失敗的鑒別過程，驗證PKI系統(tǒng)的鑒別失敗檢測功能；2)執(zhí)行鑒別機制的配置，驗證PKI系統(tǒng)鑒別失敗檢測中參數配置情況；3)驗證PKI系統(tǒng)的鑒別失敗處理功能。b)預期結果：1)PKI系統(tǒng)能夠提供鑒別失敗檢測功能，當執(zhí)行鑒別的失敗次數達到預先設置的失敗次數界限時，PKI系統(tǒng)能夠檢測并記錄此事件；2)PKI系統(tǒng)能夠提供鑒別失敗檢測參數配置功能，允許管理員配置失敗的鑒別次數和失效時間值等參數；3)PKI系統(tǒng)能夠提供鑒別失敗處理功能，對檢測到的鑒別失敗事件采取應對措施，并保證至少有一個用戶賬號不應失效。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。口令管理部分的測試方法、預期結果和結果判定如下。a)測試方法：1)依據PKI系統(tǒng)文檔執(zhí)行口令管理操作，驗證PKI系統(tǒng)口令管理中的安全機制；2)執(zhí)行由訂戶產生的訂戶鑒別口令生成操作，輸入具有不同質量的口令，驗證PKI系統(tǒng)對由訂戶自己產生的用戶鑒別口令的強度檢查情況；3)執(zhí)行由系統(tǒng)產生的訂戶鑒別口令生成操作，查看生成的口令內容，驗證PKI系統(tǒng)對由系統(tǒng)生成的用戶鑒別口令的強度管理情況；4)驗證PKI系統(tǒng)的口令使用期限管理功能。b)預期結果：1)PKI系統(tǒng)的口令管理安全機制符合GB/T21053—2023中6.6.4a)的要求；2)PKI系統(tǒng)能夠提供由訂戶自己產生的用戶鑒別口令的強度檢查功能，對可接受的口令的質量作出要求并檢查；3)PKI系統(tǒng)能夠確保生成的用戶鑒別口令強度滿足GB/T21053—2023中6.6.4c)的要求；4)PKI系統(tǒng)能夠提供口令使用期限管理功能，實現口令使用期限定義和定期更換。GB/T21054—2023c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.7訪問控制用戶屬性定義部分的測試方法、預期結果和結果判定如下。a)測試方法：執(zhí)行安全屬性維護操作，驗證PKI系統(tǒng)的安全屬性維護功能。b)預期結果：PKI系統(tǒng)能夠提供安全屬性維護功能，允許管理員對用戶的身份、組、角色、許可、安全和完整性等級等安全屬性進行管理。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。角色與責任部分的測試方法、預期結果和結果判定如下。a)測試方法：1)查看PKI系統(tǒng)文檔，驗證PKI系統(tǒng)文檔中管理員和操作員角色定義情況和各角色的職責設置情況；2)驗證PKI系統(tǒng)文檔中審計員的角色定義情況及其職責設置情況；3)執(zhí)行用戶管理操作，驗證PKI系統(tǒng)提供的主體與角色關聯功能，并確定PKI系統(tǒng)對角色管理的限制情況。b)預期結果：1)PKI系統(tǒng)在文檔中提供了對系統(tǒng)管理員和操作員的角色定義，各角色的職責與2)PKI系統(tǒng)在文檔中提供了對系統(tǒng)審計員的角色定義，審計員的職責與GB/T21053—2023中6.7.2b)無沖突；3)PKI系統(tǒng)能夠提供主體與角色關聯功能，并實現了對角色管理的限制，確保單個身份不應同時具備多個角色的權限，單個用戶不應同時擁有多個角色。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.7.3系統(tǒng)用戶訪問控制系統(tǒng)用戶訪問控制部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行系統(tǒng)用戶管理操作，驗證PKI系統(tǒng)的系統(tǒng)用戶注冊、注銷功能，并確認對用戶分配或者使用系統(tǒng)特權的操作進行的限制和控制情況；2)驗證PKI系統(tǒng)的系統(tǒng)用戶訪問控制的用戶權限審核機制；3)使用系統(tǒng)用戶執(zhí)行相關操作，驗證PKI系統(tǒng)對系統(tǒng)用戶實施訪問控制的情況；4)驗證PKI系統(tǒng)文檔中關鍵操作的定義和權限控制情況；5)驗證PKI系統(tǒng)文檔中訪問控制相關內容。b)預期結果：1)PKI系統(tǒng)能夠提供系統(tǒng)用戶注冊、注銷功能，并對用戶分配或者使用系統(tǒng)特權的操作進行了嚴格的限制和控制；2)PKI系統(tǒng)能夠定期執(zhí)行用戶權限審核，審核系統(tǒng)用戶的權限分配是否適當；3)PKI系統(tǒng)能夠提供系統(tǒng)用戶訪問控制功能，對系統(tǒng)用戶的操作進行訪問控制，阻止不符合訪問控制策略的系統(tǒng)用戶操作執(zhí)行；4)PKI系統(tǒng)在文檔中定義了關鍵操作，并通過訪問控制功能確保當多個系統(tǒng)具有相應權限的用戶同時通過身份鑒別后，才能執(zhí)行相應的關鍵操作；5)PKI系統(tǒng)在文檔中包含訪問控制文檔相關內容，并涵蓋了GB/T21053—2023中6.7.3e)中規(guī)定的相關內容。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.8安全審計審計數據產生部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行PKI系統(tǒng)的審計管理操作，驗證PKI系統(tǒng)的審計數據產生功能，并確定系統(tǒng)中維護的可審計事件；2)驗證PKI系統(tǒng)維護的可審計事件對GB/T21053—2023中6.8.2b)列出事件的涵蓋情況；3)執(zhí)行可審計事件對應的操作，驗證審計記錄生成情況以及審計記錄的內容；4)分析審計記錄中私鑰、對稱密鑰和其他安全相關的參數等敏感信息的加密情況；5)分析審計記錄中可審計事件與發(fā)起該事件的用戶身份關聯的情況。b)預期結果：1)PKI系統(tǒng)能夠提供審計數據產生功能，系統(tǒng)中已維護的所有可審計事件涵蓋了GB/T21053—2023中6.8.2a)規(guī)定的事件；2)PKI系統(tǒng)維護的所有可審計事件涵蓋了GB/T21053—2023中6.8.2b)規(guī)定的事件；3)PKI系統(tǒng)能夠為每個可審計事件生成對應的審計記錄，審計記錄中包含的信息涵蓋了GB/T21053—2023中6.8.2c)規(guī)定的信息，內容與實際操作一致；4)審計記錄中未出現明文形式的私鑰、對稱密鑰和其他安全相關的參數；5)審計記錄能夠將可審計事件與發(fā)起該事件的用戶身份進行了關聯。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。審計查閱部分的測試方法、預期結果和結果判定如下。a)測試方法：執(zhí)行PKI系統(tǒng)的審計記錄查閱操作，驗證PKI系統(tǒng)的審計記錄查閱功能，并確認日志信息顯示方式及適于閱讀和解釋的情況。b)預期結果：PKI系統(tǒng)能夠提供審計記錄查閱功能，管理員可通過該功能查看所有日志信息，日志信息的提供方式適于閱讀和解釋。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.8.3選擇性審計查閱選擇性審計查閱部分的測試方法、預期結果和結果判定如下。a)測試方法：執(zhí)行選擇性審計查閱操作，驗證PKI系統(tǒng)安全審計功能中選擇性審計查閱功能的情況以及返回的審計日志查閱結果與選擇或排除的相關屬性的一致性。b)預期結果：GB/T21054—2023PKI系統(tǒng)能夠提供選擇性審計查閱功能，使管理員能夠根據相關屬性選擇或排除審計事件集中的可審計事件；通過選擇和排除特定類型的可審計事件并執(zhí)行選擇性審計查閱操作后，返回的審計日志查閱結果與選擇或排除的相關屬性一致。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。審計事件存儲部分的測試方法、預期結果和結果判定如下。a)測試方法：1)以未授權和授權形式對審計記錄進行修改，驗證PKI系統(tǒng)對審計記錄修改的檢測、記錄和權限控制情況；2)將審計記錄存儲配置為已滿狀態(tài)，然后執(zhí)行若干審計事件，驗證PKI系統(tǒng)的審計記錄防丟失b)預期結果：1)以未授權形式對審計記錄進行修改時，PKI系統(tǒng)能夠防止這些操作的執(zhí)行，例如：執(zhí)行操作時，提示權限不足；無法直接訪問存儲審計記錄的數據庫或文件等；以授權形式對審計記錄進行修改時，操作能夠執(zhí)行，PKI系統(tǒng)能夠檢測到對審計記錄的修改；2)審計記錄存儲配置為已滿狀態(tài)時，PKI系統(tǒng)能夠阻止由管理員發(fā)起的以外的審計事件的c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.8.5審計日志完整性保護審計日志完整性部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行審計日志完整性保護配置操作，驗證PKI系統(tǒng)對審計日志實施完整性保護機制的情況；2)查看審計日志，分析完整性保護相關信息，并驗證保護對象范圍；3)執(zhí)行審計日志簽名配置操作，驗證完整性保護運算的時間周期配置情況；4)查看審計日志，確定審計日志完整性保護運算的周期是否與配置的周期一致。b)預期結果：1)PKI系統(tǒng)能夠提供審計日志完整性保護功能，定期對審計日志使用密碼技術進行完整性2)審計日志的完整性保護相關信息的保護對象(例如：數字簽名對應的消息)中包含從上次運算后加入的所有審計日志條目以及上次完整性保護機制運算的結果；3)能夠通過審計日志簽名配置操作對審計日志完整性保護運算的時間周期進行配置；4)審計日志中包含系統(tǒng)運行期間所有的審計日志簽名完整性保護運算事件；審計日志完整性保護運算事件的執(zhí)行周期與配置的周期一致。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.9原發(fā)抗抵賴原發(fā)抗抵賴部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行原發(fā)抗抵賴機制配置操作，驗證PKI系統(tǒng)的原發(fā)抗抵賴證據生成功能，確定原發(fā)抗抵賴令牌生成機制以及覆蓋范圍，驗證PKI系統(tǒng)為安全信息生成的原發(fā)抗抵賴證據與信息原發(fā)者的關聯性；2)執(zhí)行原發(fā)抗抵賴證據驗證操作，驗證PKI系統(tǒng)的原發(fā)抗抵賴證據驗證功能。b)預期結果：1)PKI系統(tǒng)能提供原發(fā)抗抵賴令牌生成功能，采用密碼技術保證證書狀態(tài)信息以及其他安全信息的不可否認性；原發(fā)抗抵賴機制覆蓋證書狀態(tài)信息以及其他安全信息，原發(fā)抗抵賴證據中包含的信息與原發(fā)信息者正確關聯；2)PKI系統(tǒng)能提供原發(fā)抗抵賴證據驗證功能，對原發(fā)抗抵賴證據進行驗證。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.10備份和恢復備份和恢復部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行PKI系統(tǒng)備份和恢復操作，驗證PKI系統(tǒng)的備份和恢復功能的實現情況；2)查看PKI系統(tǒng)生成的備份數據，驗證PKI系統(tǒng)備份數據的完整性和保密性保護機制；3)分析PKI系統(tǒng)的備份方案是否能在不中斷數據庫使用的前提下實施；4)分別將備份模式配置為人工和自動，并執(zhí)行系統(tǒng)備份操作，驗證PKI系統(tǒng)是否提供人工和自動備份模式；5)分別將備份模式配置為實時和定期，并執(zhí)行系統(tǒng)備份操作，驗證PKI系統(tǒng)是否提供實時和定期備份模式；6)將備份功能配置為增量模式，驗證PKI系統(tǒng)是否提供增量備份功能；7)執(zhí)行PKI系統(tǒng)的歸檔檢索操作，并選擇檢索到的歸檔記錄執(zhí)行恢復操作，驗證PKI系統(tǒng)是否提供歸檔檢索與恢復功能；8)執(zhí)行備份和恢復操作，觀察操作過程中PKI系統(tǒng)的服務連續(xù)性，驗證PKI系統(tǒng)對在線備份和恢復功能的支持。b)預期結果：1)PKI系統(tǒng)能夠提供備份和恢復功能；執(zhí)行備份操作后，能夠生成當前時間節(jié)點的系統(tǒng)備份數據，其中保存了足夠的信息，能夠通過執(zhí)行恢復功能重建備份時的系統(tǒng)狀態(tài)；2)PKI系統(tǒng)通過數字簽名等方式對備份數據進行了完整性保護，并對備份數據中的關鍵安全參數進行了加密；3)PKI系統(tǒng)能夠提供在不中斷數據庫使用的前提下實施的備份方案；4)PKI系統(tǒng)能夠提供人工和自動備份模式；5)PKI系統(tǒng)能夠提供實時和定期備份模式；6)PKI系統(tǒng)能夠提供增量備份模式；7)PKI系統(tǒng)能夠提供歸檔檢索與恢復功能；8)PKI系統(tǒng)支持通過在線備份和恢復等方式，能夠在系統(tǒng)失敗或者其他嚴重錯誤的情況下保證PKI系統(tǒng)服務的連續(xù)性。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.11啟動和運行檢測啟動和運行檢測部分的測試方法、預期結果和結果判定如下。a)測試方法：1)執(zhí)行PKI系統(tǒng)的初始化和啟動操作，驗證PKI系統(tǒng)在初始化、啟動期間的啟動監(jiān)測功能的實現情況；2)執(zhí)行PKI系統(tǒng)的運行監(jiān)測管理操作，驗證PKI系統(tǒng)運行期間的運行監(jiān)測功能的實現情況。b)預期結果：1)PKI系統(tǒng)能夠提供一定的啟動監(jiān)測功能，在初始化、啟動期間對設備、組件和重要配置文件等進行檢測，當發(fā)現異常時能夠及時告警；GB/T21054—20232)PKI系統(tǒng)能夠提供一定的運行監(jiān)測功能，在系統(tǒng)運行期間對安全功能的運行情況進行檢測，當出現異常時能夠及時告警。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。6.12組件間通信安全組件間通信安全部分的測試方法、預期結果和結果判定如下。a)測試方法：1)在PKI系統(tǒng)各組件間部署通信監(jiān)測工具，獲取組件間通信內容，驗證PKI系統(tǒng)各組件間通信安全機制的實現情況；2)訪問PKI系統(tǒng)中實現組件間通信安全的模塊或系統(tǒng)，驗證PKI系統(tǒng)各組件間通信安全機制采用的密碼產品和密碼模塊使用情況。b)預期結果：1)PKI系統(tǒng)具備采用密碼技術實現的組件間通信安全機制，保障PKI系統(tǒng)各組件間通信的保密性和完整性；2)PKI系統(tǒng)各組件間通信安全機制實現時密碼產品的使用符合GB/T21053—2023中6.12b)c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7安全保障要求測評方法7.1開發(fā)安全架構部分的測試方法、預期結果和結果判定如下。a)測試方法：1)檢查開發(fā)者提供的安全架構證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有要求；2)檢查PKI系統(tǒng)與產品設計文檔中對安全功能的描述范圍是否相一致。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.1.1的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.1.2功能規(guī)格說明功能規(guī)格說明部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的功能規(guī)格說明證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有要求：1)是否清晰描述定義的產品安全功能；2)是否描述產品所有安全功能接口的目的、使用方法及相關參數；3)描述安全功能實施過程中，是否描述與安全功能接口相關的所有行為；4)是否描述可能由安全功能接口的調用而引起的所有直接錯誤消息。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.1.2的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。產品設計部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的產品設計證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有1)是否根據子系統(tǒng)描述產品結構，是否標識和描述產品安全功能的所有子系統(tǒng)，是否描述安全功能所有子系統(tǒng)間的相互作用；2)提供的對應關系是否能證實設計中描述的所有行為映射到調用的安全功能接口；3)是否根據實現組件描述安全功能，是否描述所有實現組件的安全功能要求相關接口、接口的返回值、與其他組件間的相互作用及調用的接口；4)是否提供實現組件和子系統(tǒng)間的對應關系。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.1.3的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。實現表示部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的實現表示證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有1)是否通過軟件代碼、設計數據等實例詳細定義產品安全功能；2)是否提供實現表示與產品設計描述間的對應關系。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.1.4的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2指導性文檔7.2.1操作用戶指南操作用戶指南部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的操作用戶指南證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有要求：1)是否描述用戶能訪問的功能和特權(包含適當的警示信息);2)是否描述如何以安全的方式使用產品提供的可用接口，是否描述產品安全功能及接口的用戶操作方法(包括配置參數的安全值);3)是否標識和描述產品運行的所有可能狀態(tài)，包括操作導致的失敗或者操作性錯誤；4)是否描述實現產品安全目的必需執(zhí)行的安全策略。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.2.1的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。GB/T21054—2023準備程序部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的準備程序證據，并檢查開發(fā)者提供的信息是否滿足證據的內容和形式的所有要求：1)是否描述與開發(fā)者交付程序相一致的安全接收所交付產品必需的所有步驟；2)是否描述安全安裝產品及其運行環(huán)境必需的所有步驟。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.2.2的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.3生命周期支持7.3.1配置管理能力配置管理能力部分的測試方法、預期結果和結果判定如下。a)測試方法：檢查開發(fā)者提供的配置管理能力證據，并檢查開發(fā)者提供的信息是否滿足內容和形式的所有1)檢查開發(fā)者是否為不同版本的產品提供唯一的標識；2)現場檢查配置管理系統(tǒng)是否對所有的配置項作出唯一的標識，且是否對配置項進行了維護；3)檢查開發(fā)者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法；4)現場檢查是否能通過自動化配置管理系統(tǒng)支持產品的生成，是否僅通過自動化措施對配置項進行授權變更；5)檢查配置管理計劃是否描述了用來接受修改過的或新建的作為產品組成部分的配置項的程序；檢查配置管理計劃是否描述如何使用配置管理系統(tǒng)開發(fā)產品，現場核查活動是否與計劃一致；是否描述與開發(fā)者交付程序相一致的安全接收所交付產品必需的所有步驟。b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.3.1的要求。c)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.3.2配置管理范圍配置管理范圍部分的測試方法、預期結果和結果判定如下。a)測試方法；檢查開發(fā)者提供的配置管理范圍證據，并檢查開發(fā)者提供的信息是否滿足內容和形式的所有1)檢查開發(fā)者提供的配置項列表是否包含產品、安全保障要求的評估證據和產品的組成部分及相應的開發(fā)者；2)檢查開發(fā)者提供的配置項列表是否包含實現表示、安全缺陷報告、解決狀態(tài)及相應的開b)預期結果：開發(fā)者提供的信息應滿足GB/T21053—2023中7.3