GB∕T 25320.1003-2023 電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全 第100-3部分：IEC 62351-3的一致性測試用例和包括TCP-IP協(xié)議集的安全通信擴(kuò)展

電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全測試用例和包括TCP/IP協(xié)議集的安全通信擴(kuò)展(IECTSGB/Z25320.1003—2023前言 I Ⅱ 12規(guī)范性引用文件 3術(shù)語、定義和縮略語 3.1術(shù)語和定義 3.2縮略語 24概述 34.1本文件涉及的標(biāo)準(zhǔn) 34.2一致性測試結(jié)構(gòu) 34.3一致性測試要求 45配置參數(shù)的驗(yàn)證 5.1概述 55.2配置參數(shù) 5 76.1概述 76.2正常過程測試用例 76.3彈性測試用例 97測試結(jié)果表 7.1配置參數(shù)的驗(yàn)證 7.2IEC62351-3要求的驗(yàn)證 參考文獻(xiàn) 21表1配置參數(shù) 5表2IEC62351-3要求：正常過程測試 7表3IEC62351-3要求：彈性測試 9表4測試結(jié)果：配置參數(shù)的驗(yàn)證 表5測試結(jié)果：IEC62351-3要求的驗(yàn)證 I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》的第100-3部分。GB/T(Z)25320已經(jīng)發(fā)布了以下部分：——第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹；——第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包含TCP/IP的協(xié)議集；——第4部分：包含MMS的協(xié)議集；——第5部分：GB/T18657等及其衍生標(biāo)準(zhǔn)的安全；——第7部分：網(wǎng)絡(luò)和系統(tǒng)管理(NSM)的數(shù)據(jù)對象模型；——第11部分：XML文件的安全；——第100-1部分：IECTS62351-5和IECTS60870-5-7的一致性測試用例；——第100-3部分：IEC62351-3的一致性測試用例和包括TCP/IP協(xié)議集的安全通信擴(kuò)展。本文件修改采用IECTS62351-100-3:2020《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第100-3部分：IEC62351-3的一致性測試用例和包括TCP/IP協(xié)議集的安全通信擴(kuò)展》。文件類型由IEC技術(shù)規(guī)范調(diào)整為我國的國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件。本文件與IECTS62351-100-3:2020的技術(shù)差異及原因如下：——?jiǎng)h除了“參考標(biāo)準(zhǔn)要求”的內(nèi)容。新版標(biāo)準(zhǔn)中刪除了“參考標(biāo)準(zhǔn)要求”,本文件刪除相應(yīng)的內(nèi)容。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國電力企業(yè)聯(lián)合會(huì)提出。本文件由全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC82)歸口。本文件起草單位：國網(wǎng)電力科學(xué)研究院有限公司、中國電力科學(xué)研究院有限公司、南京南瑞繼保電氣有限公司、東南大學(xué)、國電南京自動(dòng)化股份有限公司、國網(wǎng)江蘇省電力公司電力科學(xué)研究院、國電南瑞科技股份有限公司、國網(wǎng)江蘇省電力有限公司、南方電網(wǎng)科學(xué)研究院有限責(zé)任公司、國網(wǎng)智能電網(wǎng)研究院有限公司、國家電網(wǎng)有限公司信息通信分公司。ⅡGB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》,旨在盡可能的減少通信和計(jì)算機(jī)網(wǎng)絡(luò)中存在的惡意攻擊對電力系統(tǒng)的數(shù)據(jù)及通信安全產(chǎn)生的危害，完善電力系統(tǒng)使用的各層通信協(xié)議中的安全漏洞以及提高電力系統(tǒng)信息基礎(chǔ)設(shè)施的安全管理。擬由以下部分構(gòu)成?！?部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹。目的在于介紹GB/T(Z)25320的其他部分，主要向讀者介紹應(yīng)用于電力系統(tǒng)運(yùn)行的信息安全的各方面知識?！?部分：術(shù)語。目的在于介紹在GB/T(Z)25320中所使用的關(guān)鍵術(shù)語?！?部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包含TCP/IP的協(xié)議集。目的在于規(guī)定如何通過限于傳輸層安全協(xié)議的消息、過程和算法的規(guī)范，對基于TCP/IP的協(xié)議進(jìn)行安全防護(hù)，使這些協(xié)議能適用于IECTC57的遠(yuǎn)動(dòng)環(huán)境。 第4部分：包含MMS的協(xié)議集。目的在于描述在使用GB/T16720(ISO/IEC9506)制造報(bào)文規(guī)范MMS時(shí)應(yīng)實(shí)現(xiàn)的一些強(qiáng)制和可選的安全規(guī)范。 第5部分：GB/T18657等及其衍生標(biāo)準(zhǔn)的安全。目的在于定義了應(yīng)用程序配置文件(a-profile)安全通信機(jī)制，規(guī)定了對基于或衍生于IEC60870-5的所有協(xié)議的運(yùn)行進(jìn)行安全防護(hù)的消息、過程和算法。 第6部分：IEC61850的安全。目的在于規(guī)定了對基于或派生于IEC61850的所有協(xié)議的運(yùn)行進(jìn)行安全防護(hù)的報(bào)文、過程與算法?！?部分：網(wǎng)絡(luò)和系統(tǒng)管理(NSM)的數(shù)據(jù)對象模型。目的在于定義了電力系統(tǒng)運(yùn)行所特有的網(wǎng)絡(luò)和系統(tǒng)管理的數(shù)據(jù)對象模型?！?部分：電力系統(tǒng)管理基于角色的訪問控制。目的在于為電力系統(tǒng)管理提供基于角色的訪——第9部分：電力系統(tǒng)設(shè)備的網(wǎng)絡(luò)安全密鑰管理。目的在于通過指定或限制要使用的密鑰管理選項(xiàng)來定義實(shí)現(xiàn)密鑰管理互操作性的要求和技術(shù)。——第10部分：安全架構(gòu)指南。目的在于描述基于基本安全控制的電力系統(tǒng)安全架構(gòu)指南?！?1部分：XML文件的安全。目的在于規(guī)范智能變電站通信過程中的配置文件(XML文件)——第12部分：分布式能源資源(DER)信息物理系統(tǒng)電力系統(tǒng)用安全建議。目的在于提高分布式能源(DER)系統(tǒng)的安全性和可靠性?！?3部分：覆蓋標(biāo)準(zhǔn)和規(guī)范的安全主題指南。目的在于提供關(guān)于電力行業(yè)使用的標(biāo)準(zhǔn)和規(guī)范(IEC或其他)中可能或應(yīng)該涵蓋哪些安全問題?！?0-1部分：電力系統(tǒng)基于角色的訪問控制處理指南。目的在于開發(fā)用于定義和設(shè)計(jì)自定義角色以及角色映射的標(biāo)準(zhǔn)化方法?！?0-2部分：加密通信的深度包檢查。目的在于說明應(yīng)用于IEC62351保護(hù)的通信信道的DPI最新技術(shù)。——第90-3部分：網(wǎng)絡(luò)和系統(tǒng)管理導(dǎo)則。目的是提供處理IT和OT數(shù)據(jù)的導(dǎo)則。——第100-1部分：IECTS62351-5和IECTS60870-5-7的一致性測試用例。目的在于提供了IEC62351-5:2023和IECTS60870-5-7:2013的一致性和/或互操作性測試的測試用例?！?00-3部分：IEC62351-3的一致性測試用例和包括TCP/IP協(xié)議集的安全通信擴(kuò)展。目的在于提供了IEC62351-3:2023一致性測試用例及驗(yàn)證影響安全擴(kuò)展程序和協(xié)議行為的所有Ⅲ參數(shù)的配置?！?00-6部分：IEC61850-8-1和IEC61850-9-2的網(wǎng)絡(luò)安全一致性測試。目的在于提供了變電站自動(dòng)化系統(tǒng)和遠(yuǎn)動(dòng)系統(tǒng)的數(shù)據(jù)和通信安全互操作性一致性測試的測試用例。GB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》定義了電力系統(tǒng)相關(guān)通信協(xié)議(IEC60870-5、IEC60870-6、IEC61850、IEC61970和IEC61968系列)的數(shù)據(jù)和通信安全，也定義了通信過程中可能遭受到的安全威脅和安全攻擊以及安全應(yīng)對措施。1電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全測試用例和包括TCP/IP協(xié)議集的安全通信擴(kuò)展本文件給出了遠(yuǎn)動(dòng)設(shè)備、變電站自動(dòng)化系統(tǒng)(SAS)和SCADA的前置機(jī)的數(shù)據(jù)和通信安全的測試案例。本文件提供一種協(xié)議實(shí)現(xiàn)的標(biāo)準(zhǔn)測試方法達(dá)到互操作性，以驗(yàn)證設(shè)備滿足IEC62351-3要求。符合標(biāo)準(zhǔn)的一致性不能保證不同設(shè)備之間的互操作性，但期望使用本文件測試將不能互操作的風(fēng)險(xiǎn)降到最低。互操作性的基本條件是兩個(gè)設(shè)備都能通過一致性測試。本文件規(guī)定了IEC62351-3的一致性和/或互操作性測試的通用可行的過程和定義。本文件定義的一致性測試用例專注于驗(yàn)證IEC62351-3中規(guī)定的基礎(chǔ)認(rèn)證/加密協(xié)議(TLS)的一致性集成，以保護(hù)基于TCP/IP的通信。本文件不涉及測試IEC62351-3要求的基于TCP/IP(TLS)的基礎(chǔ)身份驗(yàn)證/加密協(xié)議?；赥CP/IP的身份驗(yàn)證/加密協(xié)議的一致性測試不在本文件的討論范圍之內(nèi)。本文件涉及數(shù)據(jù)和通信安全一致性測試，不涉及其他要求，例如安全性或EMC。這些要求由其他標(biāo)準(zhǔn)(如果適用)涉及，這部分內(nèi)容的合規(guī)性證明遵循其他標(biāo)準(zhǔn)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/Z25320.2—2013IEC62351-3:2023電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包含TCPIP的協(xié)議集(Powersystemsmanagementandassociatedinformationexchange—Dataandcommunicationssecurity—Part3:Communicationnetworkandsystemsecurity—ProfilesincludingTCP/IP)注：GB/Z25320.3—2010電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包3術(shù)語、定義和縮略語3.1術(shù)語和定義GB/Z25320.2—2013界定的以及下列術(shù)語和定義適用于本文件。2從服務(wù)器設(shè)備接收或請求服務(wù)或信息的設(shè)備?；ゲ僮餍詉nteroperability同一或不同制造商提供的兩臺或多臺遠(yuǎn)動(dòng)設(shè)備交換信息并用這些信息正確地配合工作的能力。消息認(rèn)證碼messageauthenticationcode;MAC接收站用來驗(yàn)證和檢查信息完整性的計(jì)算值。正常過程測試normalproceduretests用以驗(yàn)證設(shè)備在預(yù)期(正常)條件下是否滿足標(biāo)準(zhǔn)要求的一組測試用例。協(xié)議實(shí)現(xiàn)一致性聲明protocolimplementationconformancestatement;PICS被測系統(tǒng)或設(shè)備的通信能力的匯總。協(xié)議實(shí)現(xiàn)文檔protocolprotocolimplementationdocument;PID描述完整功能和系統(tǒng)特定信息的文檔。協(xié)議實(shí)現(xiàn)額外信息(測試用)protocolimplementationextrainformationforte用于測試的實(shí)現(xiàn)協(xié)議以外的信息包括系統(tǒng)通信能力的特定信息并指定哪些項(xiàng)目是可選的。彈性測試resiliencytests用以驗(yàn)證設(shè)備在應(yīng)對非期望(錯(cuò)誤)狀況時(shí)是否滿足標(biāo)準(zhǔn)要求的一組測試用例。向客戶端設(shè)備提供信息或服務(wù)的設(shè)備。測試設(shè)備testequipment模擬和驗(yàn)證被測系統(tǒng)的通信流量、輸入或輸出的所有工具和儀器。3.1.11發(fā)起由測試機(jī)構(gòu)執(zhí)行的設(shè)備一致性測試的一方。測試機(jī)構(gòu)testfacility獨(dú)立于供應(yīng)商的組織，能夠提供適當(dāng)?shù)臏y試設(shè)備和訓(xùn)練有素的人員進(jìn)行一致性測試。3.2縮略語GB/Z25320.2—2013界定的以及下列縮略語適用于本文件。CRL:證書撤銷列表(CertificateRevocationList)3DUT:被測設(shè)備(DeviceUnderTest)IP:互聯(lián)網(wǎng)協(xié)議(Inter-networkingProtocol)MAC:消息驗(yàn)證碼(MessageAuthenticationCode)OCSP:在線證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)PICS:協(xié)議實(shí)現(xiàn)一致性聲明(ProtocolImplementationConformanceStatement)PID:協(xié)議實(shí)現(xiàn)文檔(ProtocolImplementationDocument(=PICS+PIXIT))PIXIT:協(xié)議實(shí)現(xiàn)額外信息(測試用)(ProtocolImplementationExtraInformationforTesting)SAS:變電站自動(dòng)化系統(tǒng)(SubstationAutomationSystem)SCADA:數(shù)據(jù)采集與監(jiān)視系統(tǒng)(SupervisoryControlAndDataAcquisition)TCP:傳輸控制協(xié)議(TransportControlProtocol)4概述4.1本文件涉及的標(biāo)準(zhǔn)本文件定義了滿足IEC62351-3:2023及其他部分中要求與IEC62351-3一致的其他部分的一致性測試用例。除了本文件中描述的測試用例之外，也描述了TLS基本協(xié)議RFC所需的進(jìn)一步的測試用例，以及基于證書中具體內(nèi)容的測試用例。例如，IEC62351-8中規(guī)定的RBAC擴(kuò)展或IEC62351-9中定義的證書配置文件。4.2一致性測試結(jié)構(gòu)IEC62351-3定義了在TCP/IP(傳輸)級別上實(shí)施的認(rèn)證/加密協(xié)議、流程和方法的相關(guān)要求。一致性測試用例分為三章?！竦?章：配置參數(shù)驗(yàn)證。第5章包含本文件引用IEC62351-3所聲明的參數(shù)和這些參數(shù)對協(xié)議行為的影響?！竦?章：IEC62351-3要求的驗(yàn)證。第6章的目的是驗(yàn)證DUT是否符合IEC62351-3的要求?！竦?章：測試結(jié)果表。第7章包含第6章列出的測試用例的結(jié)果，這些結(jié)果適用于第5章列出的所有支持的配置參數(shù)的值。測試用例以表格形式列出并進(jìn)行編號，編號規(guī)則為：條編號(表所在的位置)+測試用例編號每個(gè)測試用例的“引用”列與直接引用的IEC62351-3中定義的被測內(nèi)容的章節(jié)相對應(yīng)。當(dāng)執(zhí)行某些測試用例考慮DUT的PICS或PIXIT中聲明的特定參數(shù)值時(shí)，PICS或PIXIT可在“引用”列中找到。測試用例是否為強(qiáng)制項(xiàng)取決于“要求”列中的描述?？赡艹霈F(xiàn)以下情況：M:強(qiáng)制測試用例。該測試引用的是IEC62351-3中的強(qiáng)制性條款。PICS/PIXIT:如果在PICS或PIXIT中通過適用復(fù)選框標(biāo)記或適用值聲明使能了該功能，則為強(qiáng)制測試用例。4.2.2針對每類站的一致性測試為驗(yàn)證IEC62351-3中定義的要求，第6章中的測試用例按每個(gè)站點(diǎn)類型(客戶端和服務(wù)器)進(jìn)行44.2.3正常過程測試和彈性測試IEC62351-3狀態(tài)機(jī)規(guī)定了每個(gè)站(控制站和被控站)應(yīng)如何在正常條件下(預(yù)期行為)執(zhí)行過程，也規(guī)定了在執(zhí)行過程中發(fā)生非預(yù)期事件或故障事件(否定行為)時(shí)應(yīng)如何動(dòng)作。因此，對于第6章中的每個(gè)過程，測試用例也分為兩部分：正常過程測試用例解決預(yù)期的行為，而彈性測試用例解決非期望或故障事件、應(yīng)根據(jù)DUT的PICS和PIXIT中聲明的第6章中定義的DUT支持的參數(shù)值進(jìn)行正常過程測試和彈性測試。除非測試用例中另有規(guī)定，否則本文件中定義的所有測試均應(yīng)針對客戶端站點(diǎn)和服務(wù)器站點(diǎn)進(jìn)行。4.3一致性測試要求4.3.1在應(yīng)用程序的上下文中進(jìn)行測試4.3中列出的測試用例將在應(yīng)用程序的上下文中執(zhí)行。符合IEC62351-3的DUT應(yīng)采用標(biāo)準(zhǔn)中規(guī)定的應(yīng)用協(xié)議，該協(xié)議符合IEC62351-3要求。4.3.2被測設(shè)備的要求提交測試設(shè)備的實(shí)體應(yīng)提供以下內(nèi)容：a)準(zhǔn)備測試的設(shè)備；b)協(xié)議實(shí)現(xiàn)文件(PID);c)詳細(xì)說明設(shè)備的安裝和操作或在測試期間幫助操作被測設(shè)備的指導(dǎo)手冊。滿足以下條件時(shí)，設(shè)備即可進(jìn)行測試：d)根據(jù)PID(取決于被測設(shè)備的類型),被測設(shè)備能夠作為控制站或被控站運(yùn)行；e)被測設(shè)備應(yīng)根據(jù)PID進(jìn)行完全配置，并且應(yīng)能執(zhí)行PID所描述的協(xié)議實(shí)現(xiàn)的所有功能；f)PID中描述的與數(shù)據(jù)點(diǎn)相關(guān)的功能，例如參數(shù)加載、讀取過程、命令傳輸?shù)?，是通過數(shù)據(jù)點(diǎn)的代表性子集實(shí)現(xiàn)的；g)數(shù)據(jù)點(diǎn)的驗(yàn)證應(yīng)能以人工可讀的方式或格式進(jìn)行，并且模擬和數(shù)字狀態(tài)變化的驗(yàn)證應(yīng)是可4.3.3測試機(jī)構(gòu)的要求測試機(jī)構(gòu)應(yīng)滿足以下要求。應(yīng)檢查隨被測設(shè)備提供的文件的正確性和完整性。此外，應(yīng)驗(yàn)證被測設(shè)備的軟件和硬件版本?！駪?yīng)基于PID(=PICS+PIXIT)中標(biāo)識的能力為被測設(shè)備定制一致性測試。根據(jù)這種定制，測試機(jī)構(gòu)應(yīng)根據(jù)測試計(jì)劃覆蓋定制的用例?！竦?章和第6章中列出的測試用例在測試執(zhí)行過程中應(yīng)沒有任何錯(cuò)誤。●第6章中的測試用例宜按照列出的順序執(zhí)行，并且應(yīng)遵循每個(gè)測試用例中的步驟，即被測設(shè)備應(yīng)能夠按照特定測試用例中的描述運(yùn)行?！竦?章和第6章中列出的每個(gè)測試用例均需要在第7章中的測試結(jié)果表的相應(yīng)列中標(biāo)記測試結(jié)果。每個(gè)測試用例可以通過測試(通過),測試失敗(失敗),不支持(如果設(shè)備不支持配置值(NA)),或者未執(zhí)行測試用例(空)。理想情況下，測試完成后不宜有任何空白框?！裣虬l(fā)起方發(fā)布被測設(shè)備的一致性測試報(bào)告。第7章中列出的所有測試用例宜由測試軟件自動(dòng)驗(yàn)證或在執(zhí)行測試程序后通過查看測試歷史日志5進(jìn)行手動(dòng)驗(yàn)證。模擬器為適應(yīng)協(xié)議標(biāo)準(zhǔn)和被測設(shè)備提供的PID的改變應(yīng)能靈活地添加或改變測試用例。在任何情況下，在測試機(jī)構(gòu)中測試工程師應(yīng)能隨時(shí)復(fù)現(xiàn)該測試。在操作使用過程中，設(shè)備可能會(huì)顯示通信和/或行為錯(cuò)誤，測試機(jī)構(gòu)應(yīng)能復(fù)現(xiàn)完整的一致性測試過程(例如以后進(jìn)行驗(yàn)證)或僅復(fù)現(xiàn)顯示為有錯(cuò)誤的測試過程。該測試僅關(guān)注PID中描述的協(xié)議元素和功能，不包括應(yīng)用程序邏輯和被測系統(tǒng)的操作。在執(zhí)行一致性測試期間，被測設(shè)備宜以可讀格式記錄以下信息用于測試結(jié)果分析：●通信事件(第一次握手、會(huì)話重新協(xié)商、會(huì)話恢復(fù))?！褡C書檢查結(jié)果(例如有效、過期、撤銷、密鑰長度無效、簽名無效)。●更改密鑰結(jié)果(例如不支持)?！裨谶M(jìn)行彈性測試時(shí)，當(dāng)出現(xiàn)否定行為時(shí)，被測設(shè)備(定義符合IEC62351-3)引發(fā)的安全事件。如果被測設(shè)備不支持本文和IEC62351-3中定義的特定測試日志，被測設(shè)備應(yīng)提供測試人員能驗(yàn)證測試用例正確執(zhí)行的方法。5配置參數(shù)的驗(yàn)證第5章的內(nèi)容為驗(yàn)證影響安全擴(kuò)展程序和協(xié)議行為的所有參數(shù)的配置，以便對每個(gè)參數(shù)執(zhí)行全部或部分的一致性測試(并相應(yīng)地填寫第7章中的測試結(jié)果圖)這些參數(shù)的值如5.2中所示。應(yīng)根據(jù)表1中定義的配置對被測器件進(jìn)行測試，以驗(yàn)證整個(gè)功能和行為是否正確。5.2配置參數(shù)配置參數(shù)應(yīng)符合表1。序號要求站類型客戶端服務(wù)器M對于所支持的每種設(shè)備類型都應(yīng)執(zhí)行第六章中列出的所有一致性測試 用于安全通信對于該參數(shù)的每個(gè)值，都應(yīng)執(zhí)行第六章中列出的所有一致性測試MTLS版本支持TLS協(xié)議版本PICS,PIXITM對于每個(gè)支持的(強(qiáng)制性和可選的)參數(shù)值，都應(yīng)執(zhí)行第六章中列出的所有一致性測試 6GB/Z25320.1003—2023序號要求TLS密碼套件TLS協(xié)議中支持的密碼套件集PICS,PIXITM至少對該參數(shù)支持的強(qiáng)制值的最小集，應(yīng)執(zhí)行第六章中列出的所有一致性—公共密鑰的長度證書簽名和TLS會(huì)話密鑰交換中支持的公鑰長度M至少對該參數(shù)支持的強(qiáng)制值的最小集，應(yīng)執(zhí)行第六章中列出的所有一致性—證書撤銷檢查方法驗(yàn)證證書撤銷狀態(tài)(CRL/OCSP)的M對于每個(gè)受支持的參數(shù)值，都應(yīng)執(zhí)行第6章中列出的所有一致性測試—證書撤銷檢查間隔時(shí)間已配置證書撤銷檢查的時(shí)間間隔。此參數(shù)的測試用例的執(zhí)行，能降低M至少對于該參數(shù)中支持的強(qiáng)制值的最小值，應(yīng)執(zhí)行第6章中列出的所有一致性測試TLS會(huì)話重新協(xié)商間隔會(huì)話重新協(xié)商配置的時(shí)間間隔。此參數(shù)的測試用例的執(zhí)行，能降低M至少對于該參數(shù)中支持的強(qiáng)制值的最小值，應(yīng)執(zhí)行第6章中列出的所有一致性測試—TLS會(huì)話恢復(fù)配置的會(huì)話恢復(fù)時(shí)間間隔。此參數(shù)的測試用例的執(zhí)行，能降低M至少對于該參數(shù)中支持的強(qiáng)制值的最小值，應(yīng)執(zhí)行第6章中列出的所有一致性測試 7序號建議支持的證書機(jī)構(gòu)的最小數(shù)量M至少對于該參數(shù)中支持的強(qiáng)制值的最小值，應(yīng)執(zhí)行第6章中列出的所有一致 最大證書長度支持的最大公鑰證書長度M對于該參數(shù)中支持的強(qiáng)制值的最大值，應(yīng)執(zhí)行第6章中列出的所有一致性6.1概述第6章規(guī)定了為驗(yàn)證被測設(shè)備正確執(zhí)行IEC62351-3的要求而進(jìn)行的一致性測試流程。為執(zhí)行第6章所列的一致性測試，應(yīng)在被測設(shè)備上預(yù)先安裝用于TLS的有效PKI證書。6.2正常過程測試用例表2描述了在正常(預(yù)期)條件下驗(yàn)證被測設(shè)備行為的正常過程測試用例。序號DUT(僅客戶端)使用為安全通信指定的遠(yuǎn)程站TCP/IP端口啟動(dòng)到服務(wù)器的TCP/IP連接MDUT(僅服務(wù)器)在為安全通信指定的TCP/IP端口上接受TCP/IP連接M手，并且沒有建立以前的TLS會(huì)話MDUT(僅服務(wù)器)在正在進(jìn)行的TLS會(huì)話中通過向客戶端發(fā)送HelloRequest,按照重新協(xié)商配置的時(shí)間間隔執(zhí)行會(huì)話重新協(xié)商M如果DUT(僅客戶端)在預(yù)期的間隔內(nèi)沒有收到來自服務(wù)器的TLS會(huì)話協(xié)商請求(HelloRequest),DUT通過將ClientHello發(fā)送給服務(wù)器啟動(dòng)TLS會(huì)話協(xié)商請求M8GB/Z25320.1003—2023序號要求如果使用CRL證書檢查方法，則至少有一個(gè)TLS重新協(xié)商與CRL更新同步(在CRL更新之后立即執(zhí)行)(見注1)PIXIT如果支持OCSP證書檢查方法，則TLS會(huì)話重新協(xié)商將按配置的時(shí)間間隔執(zhí)行證書撤銷檢查DUT至少支持最少數(shù)量的根CA(本地安裝相應(yīng)數(shù)量的MDUT接收任意驗(yàn)證成功的來自本地配置的一個(gè)或多個(gè)授權(quán)CA的遠(yuǎn)程站證書MDUT接受來自一個(gè)或多個(gè)授權(quán)CA(本地配置)的一個(gè)或多個(gè)特定遠(yuǎn)程站證書(本地配置)M在初始握手時(shí)，DUT(僅客戶端)在ClientHello消息中提供受信任的CA指示在初始握手時(shí)，服務(wù)器證書消息中，DUT(僅服務(wù)器)提供了從最近收到的ClientHello消息的受信任CA指示中指定的證書鏈中選擇的證書在初始握手時(shí)，DUT與遠(yuǎn)程工作站執(zhí)行相互身份驗(yàn)證M在初始握手時(shí)，支持消息驗(yàn)證碼(MAC)選項(xiàng)，并支持所選密碼套件中指定的特定算法M在初始握手時(shí)，支持RFC5746中定義的TLS會(huì)話擴(kuò)展M在初始握手時(shí)，DUT接受的遠(yuǎn)程證書的大小限制為支持的最大證書長度M在初始握手時(shí)，如果接收到的證書有效，則訪問CRL以檢查接收到的證書狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或初始握手終止(見注1)PIXIT在初始握手時(shí)，如果接收到的證書有效，則訪問OCSP響應(yīng)程序以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或初始握手終止在會(huì)話重新協(xié)商時(shí)，DUT(僅客戶端)在ClientHello消息中提供可信CA指示在會(huì)話重新協(xié)商時(shí)，在服務(wù)器證書消息中，DUT(僅服務(wù)器)提供從收到的最后一條ClientHello消息的可信CA指示中指定的證書鏈中選擇的證書在會(huì)話重新協(xié)商時(shí)，DUT與遠(yuǎn)程站執(zhí)行相互身份認(rèn)證M在會(huì)話重新協(xié)商時(shí)，支持消息認(rèn)證碼(MAC)選項(xiàng)，并選擇密碼套件中指定的特定算法M9序號要求在會(huì)話重新協(xié)商時(shí)，支持RFC5746中定義的TLS會(huì)話擴(kuò)展M在會(huì)話重新協(xié)商時(shí)，DUT接受的遠(yuǎn)程證書的大小限制為支持的最大證書長度PIXITM在會(huì)話重新協(xié)商時(shí)，如果接收到的證書有效，則訪問CRL以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或TLS會(huì)話終止(見注1)PIXIT在會(huì)話重新協(xié)商時(shí)，如果接收到的證書有效，則訪問OCSP響應(yīng)程序以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或TLS會(huì)話終止如果先前的TLS會(huì)話在會(huì)話重新協(xié)商的配置間隔內(nèi)被丟棄，則DUT(僅客戶端)能夠在重新建立TCP/IP連接時(shí)執(zhí)行TLS會(huì)話恢復(fù)(通過向服務(wù)器發(fā)送ClientHello消息啟動(dòng))PIXITM在正在進(jìn)行的TLS會(huì)話中，DUT(僅客戶端)能夠在會(huì)話恢復(fù)的配置間隔內(nèi)執(zhí)行TLS會(huì)話恢復(fù)(通過向服務(wù)器發(fā)送ClientHello消息啟動(dòng))PIXITM在正在進(jìn)行的TLS會(huì)話中，DUT(僅服務(wù)器)能夠在會(huì)話恢復(fù)的配置間隔內(nèi)執(zhí)行TLS會(huì)話恢復(fù)(通過向客戶端發(fā)送HelloRequest消息)PIXITM有效性的測試用例。CRL位置在PIXIT中聲明。注2:M為強(qiáng)制項(xiàng)。6.3彈性測試用例表3描述了在發(fā)生非期望或故障事件時(shí)，驗(yàn)證被測設(shè)備行為的彈性程序測試用例。序號在初始握手時(shí)，遠(yuǎn)程站提供的持該版本TLS版本不安全”;TLS握手過程序號在初始握手時(shí)，遠(yuǎn)程站提供的TLS版本不安全”;TLS握手過程在初始握手時(shí)，遠(yuǎn)程站提供DUT不支持該版本——引發(fā)安全事件“警報(bào)：不安全通信”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT無法訪——引發(fā)安全事件“警告：CRL不可訪問”;TLS握手過程在初始握手時(shí)，CRL未更新——引發(fā)安全事件“警告：CRL過期”;TLS握手過程在初始握手時(shí)，DUT無法訪——引發(fā)安全事件“警告：OCSP響應(yīng)程序不可訪問”;TLS握手過程在初始握手時(shí)，DUT可以訪問OCSP響應(yīng)程序，但OCSP響應(yīng)已過期，同時(shí)收到的證書——引發(fā)安全事件“警告：OCSP響應(yīng)已過期”;-保持TCP/IP連接并繼續(xù)TLS握手過程在初始握手時(shí)，遠(yuǎn)程站沒有提——引發(fā)安全事件“警報(bào)：沒有匹配的TLS密碼套件”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，遠(yuǎn)程站不提供證書——引發(fā)安全事件“警報(bào)：證書不可用”;——關(guān)閉TCP/IP連接M序號在初始握手時(shí)，DUT接收遠(yuǎn)程站的證書，其大小大于支持——引發(fā)安全事件“警報(bào)：超出TLS證書長度”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證書所證書——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：CA證書不可用”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證書所證書，但遠(yuǎn)程站的個(gè)人證書沒——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：可信個(gè)人證書不可用”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT(僅限服務(wù)器)無法提供從收到的最后一條ClientHello消息的受信任CA指示中指定的證書鏈中選擇的證書DUT(僅限服務(wù)器)應(yīng)執(zhí)行以下操作.——引發(fā)安全事件“警報(bào)：找不到CA證書”;——關(guān)閉TCP/IP連接在初始握手時(shí)，DUT(僅客戶書，該證書不屬于最近發(fā)送的ClientHello消息的受信任CA提示中所選擇的任何證書鏈DUT(只適用于客戶)應(yīng)執(zhí)行以——發(fā)出安全事件“警報(bào)：證書不可用”;——關(guān)閉TCP/IP連接在初始握手時(shí)，DUT收到一個(gè)過期的遠(yuǎn)程工作站證書——發(fā)出安全事件“警報(bào)：證書過期”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收被撤銷的遠(yuǎn)程站證書——引發(fā)安全事件“警報(bào)：撤銷證書”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收遠(yuǎn)程站的證書，公鑰長度等于傳統(tǒng)模式的最小長度，并且受——引發(fā)安全事件“警告：最小密鑰長度”;保持TCP/IP連接并繼續(xù)TLS握手過程M序號要求在初始握手時(shí)，DUT接收遠(yuǎn)程站的證書，其公鑰長度短于支持的最小長度DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：密鑰長度不足”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收到遠(yuǎn)程站的證書，該證書指定了不受支持的證書簽名算法DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：算法不受支持”;——關(guān)閉TCP/IP連接M在初始握手時(shí)，DUT接收到帶有無效簽名的遠(yuǎn)程站證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：無法驗(yàn)證證書簽名”;——關(guān)閉TCP/IP連接M在會(huì)話恢復(fù)時(shí)，遠(yuǎn)程站使用與初始握手不同的TLS版本進(jìn)行協(xié)商DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：檢測到TLS版本更改”;——關(guān)閉TCP/IP連接M會(huì)話重新協(xié)商間隔已過期：在向客戶端發(fā)送HelloRequest消息后，DUT(僅限服務(wù)器)沒有接收到客戶端TLS會(huì)話重新協(xié)商請求DUT(僅限服務(wù)器)應(yīng)執(zhí)行以下——引發(fā)安全事件“警報(bào)：會(huì)話重新協(xié)商間隔已過期”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，遠(yuǎn)程站使用與初始握手不同的TLS版本進(jìn)行協(xié)商DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：檢測到TLS版本更改”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT無法訪問CRL,同時(shí)收到的證書有效DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警告：CRL不可訪問”;-保持TCP/IP連接并繼續(xù)TLS重新協(xié)商過程(見注1)在會(huì)話重新協(xié)商時(shí)，CRL未更新(有效期已過),同時(shí)收到的證書有效DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警告：CRL過期”;保持TCP/IP連接并繼續(xù)TLS重新協(xié)商過程(見注1)序號要求在會(huì)話重新協(xié)商時(shí)，DUT無法訪問OCSP響應(yīng)程序，同時(shí)收到的證書有效DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警告：OCSP響應(yīng)程序不可訪問”;TLS重新協(xié)商過程(見注2)在會(huì)話重新協(xié)商時(shí)，DUT可OCSP響應(yīng)已過期，同時(shí)收到的證書有效DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警告：OCSP響應(yīng)已過期”;——保持TCP/IP連接并繼續(xù)TLS重新協(xié)商過程在會(huì)話重新協(xié)商時(shí)，遠(yuǎn)程站未提供證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書不可用”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收遠(yuǎn)程站的證書，其大小大于支持的最大證書長度DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：超出TLS證書長度”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證DUT中安裝證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：CA證書不可用”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證安裝證書，但在DUT中沒有專門配置單獨(dú)的遠(yuǎn)程站證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：可信個(gè)人證書不可用”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT(僅服務(wù)器)不能提供從最近收到的ClientHello消息的受信任CA指示中指定的證書鏈中選擇的證書DUT(僅服務(wù)器)應(yīng)執(zhí)行以下——發(fā)出保安事件“警報(bào)：CA證書未找到”;——關(guān)閉TCP/IP連接在會(huì)話重新協(xié)商時(shí)，DUT(僅限客戶端)接收到一個(gè)遠(yuǎn)程站的證書，該證書不屬于最近發(fā)送的ClientHello消息的受信任CA提示中所選擇的任何證DUT(僅限客戶)應(yīng)執(zhí)行以下——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：CA證書不可用”;——關(guān)閉TCP/IP連接GB/Z25320.1003—2023序號要求在會(huì)話重新協(xié)商時(shí)，DUT接收到過期的遠(yuǎn)程站證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書過期”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收被撤銷的遠(yuǎn)程站證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：撤銷證書”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收遠(yuǎn)程站的證書，公鑰長度等于傳統(tǒng)模式的最小長度，并且DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警告：最小密鑰長度”;TLS握手過程M在會(huì)話重新協(xié)商時(shí)，DUT接收遠(yuǎn)程站的證書，其公鑰長度短于支持的最小長度DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：密鑰長度不足”;——關(guān)閉TCP/IP連接M在會(huì)話重新協(xié)商時(shí)，DUT接收到遠(yuǎn)程站的證書，該證書指定了不受支持的證書簽名算法DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：算法不受支持”;——關(guān)閉TCP/IP連接PIXITM在會(huì)話重新協(xié)商時(shí)，DUT接收到帶有無效簽名的遠(yuǎn)程站證書DUT應(yīng)執(zhí)行以下操作：——引發(fā)安全事件“警報(bào)：證書驗(yàn)證：無法驗(yàn)證證書簽名”;——關(guān)閉TCP/IP連接M有效性的測試用例。CRL位置在PIXIT中聲明。注2:測試在TLS第一次握手或TLS重新協(xié)商期間無法訪問OCSP應(yīng)答器的測試用例通過中斷DUT和OCSP應(yīng)答器之間的連接來執(zhí)行。7測試結(jié)果表7.1配置參數(shù)的驗(yàn)證5.2中測試用例的結(jié)果詳見表4。表4測試結(jié)果：配置參數(shù)的驗(yàn)證配置參數(shù)√………表示測試用例已通過失敗……表示測試用例失敗N.A表示配置值裝置不支持空表示測試用例未執(zhí)行■表示測試用例不適用于IEC62351-3序號測試描述結(jié)果配置參數(shù)5.2.1站點(diǎn)類型(客戶端、服務(wù)器)5.2.2用于安全通信的TCP/IP端口5.2.3TLS版本5.2.4TLS密碼套件5.2.5P公鑰長度5.2.6證書撤銷檢查方法5.2.7證書撤銷檢查間隔5.2.8TLS會(huì)話重新協(xié)商間隔5.2.9TLS會(huì)話恢復(fù)間隔5.2.10支持的CA數(shù)量5.2.11最大證書長度測試完成后不應(yīng)有任何空白框。6.2和6.3中測試用例的結(jié)果詳見表5。過程驗(yàn)證在右邊記錄每個(gè)支持的配置值的測試用例結(jié)果(見第6章):失敗……表示測試用例失敗N.A表示配置值裝置不支持空表示測試用例未執(zhí)行■表示測試用例不適用于IEC62351-3站類型客戶端站服務(wù)器站序號DUT(僅客戶端)使用為安全通信指定的遠(yuǎn)程站TCP/IP端口啟動(dòng)到服務(wù)器的TCP/IP連接TCP/IP連接DUT(僅客戶端)在建立連接時(shí)執(zhí)行初始的TLS握手，并且沒有GB/Z25320.1003—2023表5測試結(jié)果：IEC62351-3要IEC62351-3要求的過程驗(yàn)證在右邊記錄每個(gè)支持的配置值的測試用例結(jié)果(見第6章):失敗……表示測試用例失敗N.A表示配置值裝置不支持空表示測試用例未執(zhí)行■表示測試用例不適用于IEC62351-3站類型客戶端站服務(wù)器站序號正常程序DUT(僅服務(wù)器)在正在進(jìn)行的TLS會(huì)話中通過向客戶端發(fā)送HelloRequest,按照重新協(xié)商配置的時(shí)間間隔執(zhí)行會(huì)話重新協(xié)商如果DUT(僅客戶端)在預(yù)期的間隔內(nèi)沒有收到來自服務(wù)器的TLS會(huì)話協(xié)商請求(HelloRequest),DUT通過將ClientHello發(fā)送給服務(wù)器啟動(dòng)TLS會(huì)話協(xié)商請求如果使用CRL證書檢查方法，則至少有一個(gè)TLS重新協(xié)商與CRL更新同步(在CRL更新之后立即執(zhí)行)如果支持OCSP證書檢查方法，則TLS會(huì)話重新協(xié)商將按配置的時(shí)間間隔執(zhí)行證書撤銷檢查DUT至少支持最少數(shù)量的根CA(本地安裝相應(yīng)數(shù)量的CA證書)DUT接收任意驗(yàn)證成功的來自本地配置的一個(gè)或多個(gè)授權(quán)CA的遠(yuǎn)程站證書DUT接受來自一個(gè)或多個(gè)授權(quán)CA(本地配置)的一個(gè)或多個(gè)特定遠(yuǎn)程站證書(本地配置)在初始握手時(shí)，DUT(僅客戶端)在ClientHello消息中提供受信任的CA指示在初始握手時(shí)，服務(wù)器證書消息中，DUT(僅服務(wù)器)提供了從最近收到的ClientHello消息的受信任CA指示中指定的證書鏈中選擇的證書在初始握手時(shí)，DUT與遠(yuǎn)程工作站執(zhí)行相互身份驗(yàn)證在初始握手時(shí)，支持消息驗(yàn)證碼(MAC)選項(xiàng)，并支持所選密碼套件中指定的特定算法在初始握手時(shí)，支持RFC5746中定義的TLS會(huì)話擴(kuò)展在初始握手時(shí)，DUT接受的遠(yuǎn)程證書的大小限制為支持的最大證書長度在初始握手時(shí)，如果接收到的證書有效，則訪問CRL以檢查接收到的證書狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或初始握手GB/Z25320.1003—2023表5測試結(jié)果：IEC62351-3要求的驗(yàn)證(續(xù))IEC62351-3要求的過程驗(yàn)證在右邊記錄每個(gè)支持的配置值的測試用例結(jié)果(見第6章):失敗……表示測試用例失敗N.A表示配置值裝置不支持空表示測試用例未執(zhí)行■表示測試用例不適用于IEC62351-3站類型客戶端站服務(wù)器站序號正常程序在初始握手時(shí)，如果接收到的證書有效，則訪問OCSP響應(yīng)程序以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或初始握手終止在會(huì)話重新協(xié)商時(shí)，DUT(僅客戶端)在ClientHello消息中提供在會(huì)話重新協(xié)商時(shí)，在服務(wù)器證書消息中，DUT(僅服務(wù)器)提供從收到的最后一條ClientHello消息的可信CA指示中指定的證書鏈中選擇的證書在會(huì)話重新協(xié)商時(shí)，DUT與遠(yuǎn)程站執(zhí)行相互身份認(rèn)證在會(huì)話重新協(xié)商時(shí)，支持消息認(rèn)證碼(MAC)選項(xiàng)，并選擇密碼套件中指定的特定算法在會(huì)話重新協(xié)商時(shí)，支持RFC5746中定義的TLS會(huì)話擴(kuò)展在會(huì)話重新協(xié)商時(shí)，DUT接受的遠(yuǎn)程證書的大小限制為支持的最大證書長度在會(huì)話重新協(xié)商時(shí)，如果接收到的證書有效，則訪問CRL以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或TLS會(huì)話終止在會(huì)話重新協(xié)商時(shí)，如果接收到的證書有效，則訪問OCSP響應(yīng)程序以檢查所接收證書的狀態(tài)的過程不會(huì)導(dǎo)致已建立的TCP/IP連接或TLS會(huì)話終止如果先前的TLS會(huì)話在會(huì)話重新協(xié)商的配置間隔內(nèi)被丟棄，則DUT(僅客戶端)能夠在重新建立TCP/IP連接時(shí)執(zhí)行TLS會(huì)話恢復(fù)(通過向服務(wù)器發(fā)送ClientHello消息啟動(dòng))在正在進(jìn)行的TLS會(huì)話中，DUT(僅客戶端)能夠在會(huì)話恢復(fù)的配置間隔內(nèi)執(zhí)行TLS會(huì)話恢復(fù)(通過向服務(wù)器發(fā)送ClientHello消息啟動(dòng))在正在進(jìn)行的TLS會(huì)話中，DUT(僅服務(wù)器)能夠在會(huì)話恢復(fù)的配置間隔內(nèi)執(zhí)行TLS會(huì)話恢復(fù)(通過向客戶端發(fā)送HelloRequest消息)GB/Z25320.1003—2023表5測試結(jié)果：IEC62351-3要求的驗(yàn)證(續(xù))過程驗(yàn)證在右邊記錄每個(gè)支持的配置值的測試用例結(jié)果(見第6章):失敗……表示測試用例失敗N.A表示配置值裝置不支持空表示測試用例未執(zhí)行■表示測試用例不適用于IEC62351-3站類型客戶端站服務(wù)器站序號在初始握手時(shí)，遠(yuǎn)程站提供的TLS版本為1.1,同時(shí)DUT支持該在初始握手時(shí)，遠(yuǎn)程站提供的TLS版本為1.0,同時(shí)DUT支持該在初始握手時(shí)，遠(yuǎn)程站提供1.2版之前的TLS版本，同時(shí)DUT不支持該版本在初始握手時(shí)，DUT無法訪問CRL,同時(shí)收到的證書有效在初始握手時(shí)，CRL未更新(有效期已過),同時(shí)收到的證書有效在初始握手時(shí)，DUT無法訪問OCSP響應(yīng)程序，同時(shí)收到的證書在初始握手時(shí)，DUT可以訪問OCSP響應(yīng)程序，但OCSP響應(yīng)已過期，同時(shí)收到的證書有效在初始握手時(shí)，遠(yuǎn)程站沒有提供任何符合強(qiáng)制性要求的TLS密碼套件，也沒有在DUT中實(shí)現(xiàn)在初始握手時(shí)，遠(yuǎn)程站不提供證書在初始握手時(shí)，DUT接收遠(yuǎn)程站的證書，其大小大于支持的最大證書長度在初始握手時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證書所涉及的CA未在DUT中安裝證書在初始握手時(shí)，DUT接收到一個(gè)遠(yuǎn)程站的證書，該證書所涉及的CA在DUT中安裝了證書，但遠(yuǎn)程站的個(gè)人證書沒有在DUT中在初始握手時(shí)，DUT(僅限服務(wù)器)無法提供從收到的最后一條ClientHello消息的受信任CA指示中指定的證書鏈中選擇的證書在初始握手時(shí)，DUT(僅客戶端)接收一個(gè)遠(yuǎn)程站的證書，該證書不屬于最近發(fā)送的ClientHello消息的受信任CA提示中所選擇在初始握手時(shí)，DUT收到一個(gè)過期的遠(yuǎn)程工作站證書GB/Z25320.1003—2023表5測試結(jié)果：IEC62351-3要求的驗(yàn)證(續(xù))IEC62351-3要求的過程驗(yàn)證在右邊記錄每個(gè)支持的配置值的測試用例結(jié)果(見第6章):失敗……表示測試用例失敗N.A表示配置值裝置不支持空表