国家标准 GB/T30272一2021 代替GB/T30272一2013 信息安全技术公钥基础设施标准符合性测评 nfrmationseeuritytechmology一Publickey infrastructure- Testingandassessmentofcompliancewithstandards 2021-10-11发布 2022-05-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/30272一2021 目次前言引言范围 2 规范性引用文件术语和定义缩略语在线证书状态协议测评 5.1总则 5,2安全考虑证书管理协议测评 6.1必需的PKI管理功能 6.2传输 6.3必选的PKI管理消息结构组件最小互操作规范测评 7.1组件规范 7.2数据格式数字证书格式测评 8.1基本证书域的数据结构 8.2TBsCertifieate及其数据结构 14 8.3证书扩展项 16 时间戳规范测评 21 9.1时间戳的产生和颁发 21 9.2时间戳的管理 23 9.3时间戳的格式 24 9.4时间戳系统的安全 27 29 10电子签名格式测评 0.1基本数据格式 29 29 0.2验证数据格式 30 0.3签名策略要求 30 基于数字证书的可靠电子签名生成及验证技术测评 30 l.1电子签名相关数据的要求 31 1.2签名生成模块的要求 31 11.3电子签名生成过程与应用程序要求
GB/T30272一2021 32 1.4电子签名验证过程与应用程序要求 33 12综合评价 35 附录A资料性测试项目总表 38 附录B(资料性公钥基础设施测试环境示例 39 参考文献
GB/30272一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草本文件代替GB/T30272一2013《信息安全技术公钥基础设施标准一致性测试评价指南》,与 GB/T30272一2013相比,除编辑性改动外,主要技术变化如下 -删除了“特定权限管理中心技术规范测评”(见2013年版的4.5); 更改了“数字证书格式测评”中的相关内容(见第8章,2013年版的4.4); 增加了“电子签名格式测评”(见第10章); -增加了“基于数字证书的可靠电子签名生成及验证技术测评”(见第11章) 请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(sAc/TC260)提出并归口本文件起草单位;上海辰锐信息科技公司,公安部第三研究所、科学院数据与通信保护研究教育中心、北京数字认证股份有限公司格尔软件股份有限公司、电子科技集团公司第十互研究所(信息产业信息安全谢评中心). 本文件主要起草人;邱梓华、陈妍、李谦、刘丽敏、昌娜、郑强、傅大鹏、王路哈,邢旭东,陈家明、顾流、赵欣怡、原泉、刘中许俊、刘健本文件及其所代替文件的历次版本发布情况为 -2013年首次发布为GB/T302722013 本次为第一次修订
GB/T30272一2021 引言本文件用于指导测试评价者测试与评价公钥基础设施是否达到国家标准要求本文件依据国家已颁布、实施的7个公钥基础设施标准,即 GB/T197132005 信息技术安全技术公钥基础设施在线证书状态协议 GB/T197142005 信息技术安全技术公钥基础设施证书管理协议 GB/T197712005 信息技术安全技术公钥基础设施PKI组件最小互操作规范 GB/T205182018 信息安全技术公钥基础设施数字证书格式 GB/T205202006信息安全技术公钥基础设施时间戳规范 GB/T250642010 信息安全技术公钥基础设施电子签名格式规范 GB/T352852017 信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求这7个标准对相应评价测试方法做了详细描述 IN
GB/30272一2021 信息安全技术公钥基础设施标准符合性测评范围本文件描述了公钥基础设施相关组件的测试评价方法,包括CA、RA,时间戳子系统、在线证书状态查询子系统、电子签名及验证子系统、客户端等组件本文件适用于按照国家标准GB/T19713一2005、GB/！19714一2005,GB/T19771一2005、 GB/T20518-2018,GB/T205202006,GB/T250642010,GB/T352852017进行研制开发的产品类公钥基础设施相关组件的测试和评价规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件信息技术安全技术公钥基础设施在线证书状态协议 GB/T197132005 GB/T19714一2005信息技术安全技术公钥基础设施证书管理协议 GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范 GB/T205182018信息安全技术公钥基础设施数字证书格式 GB/T205202006信息安全技术公钥基础设施时间戳规范信息安全技术公钥基础设施电子签名格式规范 GB/T25064一2010 GB/T250692010信息安全技术术语 GB/T35275-2017信息安全技术SM2密码算法加密签名消息语法规范 GB/T35285一2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求术语和定义 GB/T197132005、GB/T197142005、GB/T197712005、GB/T205182018、GB/T20520- 2006,GB/T25064一2010,G;B/T35285一2017,GB/T25069一2010界定的术语和定义适用于本文件缩略语下列缩略语适用于本文件 BES基本电子签名(BasisEleetronicSignaturey CA认证机构(CertificationAuthority CPS认证惯例陈述(CertifieationPracticeStatement) CRL证书撤销列表(CertificateRevocationListD)
GB/T30272一202 ES电子签名(EleetronieSignature) ESS增强安全服务(EnhancedSecurityServices) MIME多用途网络邮件扩充协议(MultipurposelnternetMailExtension) OcsP在线证书状态协议(OnlineCertifieateStatusProtocol) OID对象标识符(ObjeetID) PIN个人身份识别码(PersonalIdentifieationNumber PKCS公钥密码标准(Publiec-keyCryptographyStandards PKI公钥基础设施(PublieKeylnfrastrueture) RA注册机构(RegistrationAuthority) TsA时间戳机构(TinmeStampAuthority) 5 在线证书状态协议测评 5.1总则 5.1.1请求依据GB/T19713一2005中5.2的内容进行测评开发者应提供文档,对所使用的在线证书状态协议进行说明测评方法如下由OCsP请求者发送多个不同状态证书的状态请求,检测OCSP响应器是否提供了正确的证 a 书状态响应 b 检测OCSP请求是否包含以下数据协议版本、服务请求、目标证书标识符,其他扩展数据(如 OCSP请求者的签名、随机数等). 使用工具发送不正确报文格式的请求,检测0cSP响应器是否发出错误信息 c 使用工具发送响应器没有配置所要求服务的请求,检测OcsP响应器是否发出错误信息 d 使用工具发送不完整信息的请求,检测osP响应器是青发出错谈信息 e 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 5.1.2响应依据GB/T19713一2005中5.3的内容进行测评开发者应提供文档,对响应签名的密钥、响应消息格式,响应消息内容等进行说明测评方法如下模拟各种身份的ocSP请求者,发送多个不同状态证书的状态请求.0csP响应请求.检测此 a 过程中是否对所有明确的响应报文都进行数字签名 b 检测响应签名的密钥是否为下列三种情况之- 1 签发待查询证书的CA公钥; 2 可信赖的响应器的公钥 CA指定的响应器公钥 3 由osP请求者发送多个不同状态证书的状态请求,检测oesP响应器的响应消息中是香包含以下内容: 响应语法的版本;
GB/30272一2021 22 响应器的名称; 3 对请求中每个证书的响应; 4可选的扩展; 5 签名算法的OID; 6 响应的杂凑值签名检测对请求中每个证书的响应,是否包含以下内容 d l)目标证书标识符; 2 证书状态值; 响应的有效期限; 3 4)可选的扩展检测OCSP响应消息中,证书状态值是否为以下三种响应标识符之一,并检测证书状态是否与实际一致 l)Good,表示对状态查询的肯定响应; 22 Revoked(已撤销),表示证书已被撤销; 33 Unknown(未知),表示响应器不能鉴别待验证状态的证书记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足如果不包含可选的扩展,并且其他结果全部符合,则本项满足 5.1.3异常情况依据GB/T197132005中5.4的内容进行测评开发者应提供文档,对OCSP响应器返回的错误消息进行说明测评方法如下使用工具发送一个没有遵循OCSP语法的请求,检测OCSP响应器是否发出相应的错误 a 信息使响应器处于非协调的工作状态,发送一个正常请求检测ocsP响应器是否发出相应的错 b 误信息使响应器处于不能返回所请求证书的状态,发送一个证书请求,检测OC'SP响应器是否发出相应的错误信息使用工具发送一个没有签名的请求.检测ocsP响应器是否发出相应的错误信息 d 使用工具发送一个未授权的请求,检测OCSP响应器是否发出相应的错误信息 e 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 5.1.4thisUpdate,nextUpdate和prdd edA的语义依据GB/T19713一2005中5.5的内容进行测评开发者应提供文档,对thisUpdate,nextUpdate和producedAt的语义进行说明测评方法为:发送多个证书请求,检测0CSP响应消息是否包含以下时间字段 thisUpdate;此次更新时间 a nextUpdate(可选字段);下次更新时间;若没有设置此字段,需指明随时可以获得更新的撒销 b 信息; produeedAt;签发时间
GB/T30272一202 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足如果不包含可选字段nextUpdate,并且指明了随时可以获得更新的撒销信息,其他结果全部符合,则本项满足 5.1.5oCsP签名机构的委托依据GB/T19713一2005中5.7的内容进行测评开发者应提供文档,对所使用的在线证书状态协议中OCSP签名机构的委托过程进行说明测评方法如下如果签署证书状态信息的密钥与签署证书的密钥不同,由CA向响应器签发一个含有extend a eedKeyUsage唯一值的证书 D发送一个证书状态查询请求,检测响应器能否用上述证书对证书状态信息进行签名记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 5.1.6CA密钥泄露依据GB/T19713一2005中5.8的内容进行测评开发者应提供文档,对CA密钥泄露时ocSP响应器的设置进行说明测评方法如下 a 在0CSP响应器中,将某一个CA的状态设置为私钥泄露 D)发送一个上述CA签发的证书状态查询请求,检测0CSP响应器能否返回上述CA签发的所有证书已撤销的状态信息记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 5.2安全考虑依据GB/T19713一2005中第8章的内容进行测评开发者应提供文档,对所使用的在线证书状态协议进行脆弱性分析测评方法为;查看开发者提供的脆弱性分析报告,检测OCSP系统能否抵御标准中的相关攻击至少应该包括拒绝服务攻击和重放攻击. 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足证书管理协议测评 6.1必需的PK1管理功能 6.1.1根CA初始化依据GB/T19714一2005中8.1的内容进行测评开发者应提供文档,针对根CA初始化的过程进行说明测评方法如下根据开发者文档,产生一对根CA的密钥对,并将密钥对中的私钥进行保存,检测根密钥的保 a 存方式是否安全例如:保存在加密机或加密卡中,并受口令保护).
GB/30272一2021 b 选择根CA的密钥对进行根CA初始化,用产生的私钥为公钥签发证书,产生自签名证书,检测这个证书的结构是否和“newwithNew"”证书结构相同为cA的公钥产生一个指纹,并检测传递指纹的数据结构是青为oocerHasb. 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.2根cA密钥更新依据GB/T19714一2005中8.2的内容进行测评开发者应提供文档,针对根CA密钥更新的过程进行说明测评方法如下在CA的生命周期到期前,模拟一次根CA密钥更新的过程 b 产生新的根CA的密钥对产生一个用新私钥为旧公钥签名的证书(“OdwithNew"”证书) 个用旧私钥为新公钥签名的证书(“NewwithOld”证书) 产生产生一个用新私钥为新公钥签名的证书(“NewwithNew”证书). 发布这些新证书导出CA的新公钥 g h)使用CA的新密钥为一个终端实体签发一个新证书利用CA旧公钥的终端实体,获得NewwithOld证书,并验证上述新证书利用CA新公钥的终端实体,获得OldwithNew证书,并验证CA旧密钥签发的旧证书记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.3下级CA初始化依据GB/T19714一2005中8.3的内容进行测评开发者应提供文档,针对下级CA初始化的过程进行说明测评方法如下在下级CA初始化之前,检测下级CA能否获得以下PKI信息 a 当前根cA的公钥,并使用杂凑值对根cA公钥进行带外验证; 1 22 撤销列表以及撤销列表的认证路径 33) 所支持的每一种相关应用的算法和算法变量模拟一次下级CA初始化的过程;产生下级CA密钥,利用根证书产生下级CA的签名证书 b 产生初始的撤销列表 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.4CRL产生依据GB/T19714一2005中8.4的内容进行测评开发者应提供文档,针对CRL.产生的过程进行说明测评方法如下在发布证书之前,在新建立CA中产生空的CRL列表 a
GB/T30272一202 b检测能否操作成功撤销一张证书,检测CRL是否可以正常更新 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.5PKI信息请求依据GB/T197142005中8.5的内容进行测评开发者应提供文档,针对PKI信息请求进行说明测评方法如下评价者模拟各种PKI信息请求,检测cA是否能够提供请求者要求的所有请求信息,如果某些 a 信息不能提供,CA是否给请求者返回错误信息， b 检测文档是否和标准的规定一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.6交叉认证依据GB/T19714一2005中8.6的内容进行测评开发者应提供文档针对交叉认证过程进行说明测评方法如下评价者模拟一次交叉认证过程 a 新建三个独立的CA系统,分别命名为A,B.c b c 分别使用三个CA系统,签发三个证书,分别命名为:a,b,c. 小以CA系统A为请求者,CA系统B为响应者,进行交叉认证操作,检测操作过程和消息结构是否符合标准要求在拥有证书b的终端实体上,使用交叉认证证书验证证书a,应能验证成功 fD 在拥有证书b的终端实体上,验证证书c,验证应不成功记录测评结果并对该结果是否完全符合标准相关要求作出判断如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据 6.1.7终端实体初始化依据GB/T19714一2005中8.7.1的内容进行测评开发者应提供文档,针对终端实体初始化过程中的“获得PK!信息”这一步骤进行说明测评方法为;在终端实体初始化之前,检测能否获得以下PKI信息当前根CA的公钥 a b)撤销列表以及撤销列表的认证路径; c 所支持的每一种相关应用的算法和算法参数记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.8证书请求依据GB/T19714一2005中8.8的内容进行测评
GB/30272一2021 开发者应提供文档,针对证书模板和证书请求进行说明测评方法如下 a 对每一种证书模板,选择一个经过初始化的终端实体,提出证书请求检测这个请求是否使用证书请求消息 b 检测能否返回所申请的新证书 d 选择一个已经拥有一对签名密钥(带有相应的验证证书)的终端实体,提出证书请求检测证书请求消息是否使用此实体的数字签名来保护检测能否返回所申请的新证书检查文档是否和标准的规定一致 g 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.1.9密钥更新依据GB/T19714一2005中8.9的内容进行测评开发者应提供文档,针对密钥更新进行说明测评方法如下在终端实体的证书将要过期前,评价者模拟密钥更新的过程 b 检查文档是否和标准的规定一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.2传输 -205中第9章的内容进行渊评依据GB/T19714一开发者应提供文档,说明在终端实体,RA,CA之间传输PKI消息的传输协议和消息格式测评方法如下如果PKI消息通过文件传输,检测PKI消息的格式是否符合标准要求 aa b)如果PKI消息通过TCP管理协议传输,检测PKI消息的格式是否符合标准要求如果PKI消息通过E-mai方式传输,检测PKI消息的格式是否符合标准要求 c 如果PKI消息通过HTTP方式传输,检测PKI消息的格式是否符合标准要求 d 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果系统支持的每种传输方式的消息格式和传输协议均符合标准要求,则本项满足 6.3必选的PK!管理消息结构 6.3.1初始的注册/认证(基本认证方案依据GB/T19714一2005中B.4的内容进行测评开发者应提供文档,说明初始的注册/认证的消息格式测评方法为;通过未初始化的终端实体向CA请求第一个证书,根据开发者所提供的文档,检测终端实体和PKI1之间的通信消息是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足
GB/T30272一2021 6.3.2证书请求依据GB/T19714一2005中B.5的内容进行测评开发者应提供文档,说明证书请求的消息格式测评方法为;通过已经初始化的终端实体向CA请求证书,根据开发者所提供的文档,检测终端实体和PKI之间的通信消息是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 6.3.3密钥更新请求依据GB/T19714一2005中B.6的内容进行测评开发者应提供文档,说明密钥更新请求的消息格式测评方法为在密钥即将过期前,通过已经初始化的终端实体间CA请求证书(用于更新密钥对和/ 或已经拥有的相应证书),根据开发者所提供的文档,检测终端实体和PKI之间的通信消息是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足组件最小互操作规范测评 7.1组件规范 7.1.1证书认证机构(CA) 7.1.1.1颁发数字签名证书依据GB/T19771一2005中5.2.2a)的内容进行测评开发者应提供文档,针对数字签名证书的颁发进行说明测评方法如下对每一种证书模板,通过授权RA产生多个签名数字证书请求,并发送给CA,检测CA能否生 a 成新证书并将其放在资料库中 b 通过非授权RA产生一个签名数字证书请求,并发送给CA,检测CA能否拒绝该证书申请,能否向RA报告失败并说明原因通过授权RA产生一个包含不匹配信息的签名数字证书请求,并发送给CA,检测cA能否拒绝该证书申请,能否向RA报告失败并说明原因 d 对每一种证书模板,产生多个自我注册的证书请求,并发送给CA,检测CA是否验证请求者的身份并验证申请者的相应私钥,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果验证失败,检测cA能否拒绝该证书申请,能否向申请者报告失败并说明原因对每一种证书模板,产生多个更新的证书请求,并发送给CA,检测CA是否验证请求者的身份,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果签名无效或者CA策略不允许更新,检测CA能否拒绝该证书更新请求,并向申请者报告失败并说明原因以非法的请求者产生一个更新的证书请求,检测cA能否拒绝该证书更新请求,能百向申请者报告失败并说明原因
GB/30272一2021 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.1.2颁发加密证书依据GB/T19771一2005中5.2.2b)的内容进行测评开发者应提供文档,针对加密证书的颁发进行说明测评方法如下 a 由第三方集中产生加密密钥对,并通过带外方式提供给CA 5 由证书持有者生成一个加密证书请求,说明自己想要的加密算法,并对该请求进行数字签名，将该请求发送给CA 检测CA能否验证请求者身份,并颁发加密证书和加密私钥给请求者记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.1.3交叉认证依据GB/T19771一2005中5.2.2c)的内容进行测评开发者应提供文档.针对CA间的交叉认证进行说明测评方法如下在两个交叉认证的CA之间交换CA的公钥,分别根据对方的公钥生成证书,并将其存放到资料库中 b)检测双方之间的证书能否交叉认证记录测评结果并对该结果是否完全符合标准相关要求作出判断如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据 7.1.1.4撤销证书依据GB/T19771一2005中5.2.2d)的内容进行测评开发者应提供文档,针对证书的撤销进行说明测评方法如下以多个证书持有者身份请求撤销证书,并将请求发送给CA,检测CA是否验证请求者身份,验 a 证成功后能否将证书放人CRL中 b 产生新的全量CRL,检测老CRL中的全部信息是否放到新CRL中产生新的增量CRL.,检测新增的撤销证书信息是否放到新CRL中 d 通过RA向CA发送多个证书撤销请求,检测CA是否验证请求者身份,验证成功后能否将证书放人CRL.中记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.1.5请求CA证书依据GB/T197712005中5.2.2f)的内容进行测评开发者应提供文档,针对向上一级CA申请证书进行说明测评方法为:通过CA向上一级的CA申请证书,检测能否申请成功
GB/T30272一202 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.2注册机构RA 依据GB/T19771一2005中5.3的内容进行测评开发者应提供文档,针对RA的操作规范进行说明测评方法如下 a 针对每一种证书模板,向RA提交多个CertReq格式的证书请求检测RA是否审查请求者的身份 b 检测RA是否确认请求者拥有相应的完整的密钥对 c d 验证通过后,检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息检测RA能否将新的CertReq消息发送给CA 如果证书请求被接受,检测RA能否接收CA颁发的新证书,并将新证书发送给请求者如果证书请求被拒绝,检测RA能否审查从CA发来的错误代码并向证书请求者返回证书拒 g 绝的响应消息 h 向 RA提交多个证书撤销请求,检测RA是否验证请求者身份,并产生新的RevReq消息检测RA能否将新的RevReq消息发送给CA i) 如果证书撒销请求被接受;,检测R八能否接收cA同应的ReReq消息,能否将此信息提交给请求者 k)如果证书撤销请求被拒绝,检测RA能否审查错误代码,并再次产生撤销请求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.3证书持有者规范依据GB/T197712005中5,4的内容进行测评开发者应提供文档,针对证书持有者规范进行说明测评方法如下以多个用户身份申请签名证书,检测能否成功申请并且获取证书 a b)以多个用户身份申请加密证书,检测能否成功申请并且获取证书以多个证书持有者身份,申请撤销签名证书,检测能否成功撤销证书 c 以多个证书持有者身份,申请更新签名证书,检测能否成功更新证书 d 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.1.4客户规范依据GB/T197712005中5.5的内容进行测评开发者应提供文档针对客户规范进行说明测评方法如下验证客户能否验证签名 a b 验证客户能香从查询服务器检索证书和CRLs 验证客户能否验证证书认证路径 c 10
GB/30272一2021 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2数据格式 7.2.1证书撤销列表依据GB/T19771一2005中6.3的内容进行测评开发者应提供文档,针对证书撒销列表的格式进行说明测评方法如下 a)由CA颁发证书撤销列表 b)下载证书撤销列表,检测证书撤销列表的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.2事务消息格式 7.2.2.1全体PKI消息组件依据GB/T19771一2005中6.5.2的内容进行测评开发者应提供文档,针对PKI消息的格式进行说明测评方法为:根据开发者提供的文档,检测PKI消息包括:header、body ,extraCerts字 dy、protection、ex 段)的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.2.2通用数据结构依据GB/T19771一2005中6.5.3的内容进行测评开发者应提供文档,针对证书模板、签名私钥的拥有证明、证书请求消息、协议加密密钥控制、PKI 消息状态码,失败信息、确认协议,证书识别,CentrallyGeneratedKeys和带外信息的格式进行说明测评方法如下 a 根据开发者提供的文档,检测证书模板的消息格式是否符合标准要求 b 根据开发者提供的文档,检测签名私钥的拥有证明消息格式是否符合标准要求根据开发者提供的文档,检测证书请求的消息格式是否符合标准要求根据开发者提供的文档,检测协议加密密钥控制的消息格式是否符合标准要求根据开发者提供的文档,检测PKI消息状态码的消息格式是否符合标准要求根据开发者提供的文档,检测失败信息的消息格式是否符合标准要求根据开发者提供的文档,检测确认协议的消息格式是否符合标准要求 8 h 根据开发者提供的文档,检测证书识别的消息格式是否符合标准要求根据开发者提供的文档,检测CentrallyGeneratedKeys的消息格式是否符合标准要求根据开发者提供的文档检测带外信息的消息格式是否符合标准要求 j 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 1
GB/T30272一2021 7.2.2.3特殊操作的数据结构依据GB/T197712005中6.5.4的内容进行测评开发者应提供文档,针对注册/证书请求、注册/证书响应、撇销请求的内容、撤销响应内容、PKCs #10证书请求的消息格式进行说明测评方法如下 a)根据开发者提供的文档,检测注册/证书请求的消息格式是否符合标准要求根据开发者提供的文档.检测注册/证书响应的拥有证明消息格式是否符合标准要求 b 根据开发者提供的文档,检测撤销请求的内容的消息格式是否符合标准要求 c d 根据开发者提供的文档,检测撤销响应内容的消息格式是否符合标准要求根据开发者提供的文档,检测PKCS井10证书请求的消息格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3PKI事务 7.2.3.1RA发起的注册请求依据GB/T19771一2005中6.6.2的内容进行测评如果产品支持远端RA,则开发者应提供文档,针对RA发起的注册请求进行说明测评方法如下根据开发者提供的文档,对每一种证书模板在RA上向cA请求多个终端实体的证书 aa b) 检测从RA到CA的证书请求消息的格式是否符合标准要求检测从CA到RA的证书回应消息的格式是否符合标准要求 c d 检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.2新实体的自我注册请求依据GB/T197712005中6.6.3的内容进行测评如果CA接受自我注册请求,则开发者应提供文档,针对新实体的自我注册请求进行说明测评方法如下根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的证书 a 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求 b) 检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求 c d)检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.3已知实体的自我注册请求依据GB/T197712005中6.6.4的内容进行测评如果CA接受自我注册请求,则开发者应提供文档,针对已知实体的自我注册请求进行说明测评方法如下 12
GB/30272一2021 根据开发者提供的文档,对每一种证书模板,以多个已知实体身份直接向CA申请新的证书 a b 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求 c 检测从cA到证书请求者的自我注册请求回应消息的格式是否符合标准要求 d)检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.4证书更新依据GB/T19771一2005中6.6.5的内容进行测评如果CA的CPs支持证书更新,则开发者应提供文档,针对证书的更新进行说明测评方法如下根据开发者提供的文档,对每一种证书模板,以多个拥有当前有效证书的实体身份直接向CA a 申请新的证书 b)检测从证书持有者到CA的证书更新申请消息的格式是否符合标准要求检测从CA到证书持有者的证书更新响应消息的格式是否符合标准要求 c d 检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.5PkCS井10自我注册请求依据GB/T19771一2005中6.6.6的内容进行测评如果CA接受自我注册请求,则开发者应提供文档.针对PKCS#10自我注册请求进行说明测评方法如下根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的PKCS# a 0证书 b 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求检测从CA到证书请求者的PKCS证书请求响应消息的格式是否符合标准要求 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.6撤销请求依据GB/T19771一2005中6.6.7的内容进行测评开发者应提供文档,针对撤销请求进行说明测评方法如下根据开发者提供的文档以多个拥有当前有效证书的实体身份直接申请撤销自己的证书 a 检测从证书持有者到RA的撤销请求消息的格式是否符合标准要求 b 检测从RA到CA的撤销请求消息的格式是否符合标准要求 c d 检测从CA到RA的撤销响应消息的格式是否符合标准要求检测从RA到证书持有者的撤销响应消息的格式是否符合标准要求记录剥评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 13
GB/T30272一2021 7.2.3.7集中产生密钥对和密钥管理证书申请依据GB/T197712005中6.6.8的内容进行测评开发者应提供文档,针对集中产生密钥对和密钥管理证书申请进行说明测评方法如下根据开发者提供的文档,以多个拥有当前有效证书的实体身份向cA申请产生加密密钥并签 a 发证书检测集中产生密钥对申请消息的格式是否符合标准要求 b 检测集中产生密钥对回应消息的格式是否符合标准要求 c d)检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 7.2.3.8组合证书申请依据GB/T19771一2005中6.6.9的内容进行测评如果CA支持组合证书,则开发者应提供文档,针对组合证书申请进行说明测评方法如下根据开发者提供的文档,以多个新实体身份向cA申请组合证书一个签名密钥证书和加密 a 证书 b 检测组合证书申请消息的格式是否符合标准要求检测组合证书回应消息的格式是否符合标准要求 c d)检测确认消息的格式是否符合标准要求记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8 数字证书格式测评 8.1基本证书域的数据结构依据GB/T205182018中5,2.2的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下对每一种证书模板使用公钥基础设施颁发多个数字证书 a b)检测所颁发数字证书的基本数据结构是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2TBsCertifieate及其数据结构 8.2.1版本Version 依据GB/T20518一2018中5.2.3.1的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 14
GB/30272一2021 检测所颁发数字证书中是否包含版本项 a b)检测证书中版本项的格式,内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.2序列号Serialnumber 依据GB/T20518一2018中5.2.3.2的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含序列号项 a b检测证书中序列号项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.3签名算法Signaturealgorithm 依据GB/T205182018中5.2.3.3的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含签名算法项 a b)检测证书中签名算法项的格式,内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.4颁发者Is SSuer 依据GB/T20518一2018中5.2.3.4的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检副所朋发数字证书中是青包含朋发首项 b)检测证书中颁发者项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.5有效期Validity 依据GB/T20518一2018中5.2.3.5的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含有效期项 aa b)检测证书中有效期项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 15
GB/T30272一2021 8.2.6主体Subjeet 依据GB/T20518一2018中5.2.3.6的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 a 检刮所颁发数字证书中是青包含主体项 b检测证书中主体项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.27主体公钥信息sjewhiekeinin 依据GB/T20518一2018中5.2.3.7的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含主体公钥信息项 a) b)检测证书中主体公钥信息项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.8颁发者唯一标识符issuerUniquelD 依据GB/T205182018中5.2.3.8的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法为检测所颁发数字证书中是青包含颁发者唯一标识符项记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.2.9主体唯一标识符shjeetUmiquelD 依据GB/T20518一2018中5.2.3.9的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法为;检测所颁发数字证书中是否包含主体唯一标识符项记录渊评结果并对该结果是青完全符合标难相关要求作出判断如果以上结果全部符合则本项满足 8.3证书扩展项 8.3.1标准扩展 8.3.1.1颁发机构密钥标识符authoritykeyldentifier 依据GB/T205182018中5,2.4.2.2的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 a 检测所颁发数字证书中是否包含颁发机构密钥标识符项检测证书中颁发机构密钥标识符项的格式,内容是否和标准一致 b 16
GB/30272一2021 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.2主体密钥标识符subjeetKeyldentifier 依据GB/T205182018中5.2.4.2.3的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含主体密钥标识符项 aa b)检测证书中主体密钥标识符项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.3密钥用法keyUsage 依据GB/T20518一2018中5.2.4.2.4的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含密钥用法项 b)检测证书中密钥用法项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.4扩展密钥用途extKeyUsage 依据GB/T20518-2018中5.2.4.2.5的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持扩展密钥用途扩展项,则此项为检测项,否则为非检测项 a 检测所颁发数字证书中是否包含扩展密钥用途项 b 检测证书中扩展密钥用途项的格式、内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.5私有密钥使用期privatekeyLsagePeriod 依据GB/T205182018中5.2.4.2.6的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持私有密钥使用期扩展项,则此项为检测项,否则为非检测项检测所颁发数字证书中是否包含私有密钥使用期项 b 检测证书中私有密钥使用期项的格式、内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 17
GB/T30272一2021 8.3.1.6证书策略certifieatePolieies 依据GB/T20518一2018中5.2.4.2.7的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含证书策略项 a b)检测证书中证书策略项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.7策略映射polieyMappings 依据GB/T205182018中5.2.4.2.8的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持策略映射扩展项,则此项为检测项,否则为非检测项 a) b)检测所颁发数字证书中是否包含策略映射项检测证书中策略映射项的格式,内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.8主体替换名称subjectAItName 依据GB/T205182018中5.2.4.2.9的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 a 如果证书中的唯一主体身份是一个选择名称格式(如一个电子邮件地址),主体的甄别名为空序列,则本项为检测项目,否则为非检测项 b检测证书中主体替换名称项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.9颁发者替换名称isSerAltName 依据GB/T20518一2018中5.2.4.2.10的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明. 测评方法如下如果公钥基础设施支持颁发者替换名称扩展项,则此项为检测项,否则为非检测项 a 检测所颁发数字证书中是否包含颁发者替换名称项 b) 检测证书中颁发者替换名称项的格式、内容是否和标准一致 c 如果以上结果全部符合,则本项记录测评结果并对该结果是否完全符合标准相关要求作出判断满足 8.3.1.10主体目录属性sujeetDireetoryAttrihutes 依据GB/T20518一2018中5.2.4.2.11的内容进行测评 18
GB/30272一2021 开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持主体目录属性扩展项,则此项为检测项,否则为非检测项 b 检测所颁发数字证书中是否包含主体目录属性项检测证书中主体目录属性项的格式,内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.11基本限制basicConstraints 依据GB/T205182018中5,2.4.2.12的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下检测所颁发数字证书中是否包含基本限制项 a b)如果包含基本限制项,检测证书中基本限制项的格式、内容是否和标准一致如果不包含基本限制项,则该项为非检测项 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 nameConstraints 8.3.1.12名称限制依据GB/T205182018中5.2.4.2.13的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持名称限制扩展项,则此项为检测项,否则为非检测项 5 检测所颁发数字证书中是否包含名称限制项检测证书中名称限制项的格式,内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.13策略限制polieyCostraints 依据GB/T20518一2018中5.2.4.2.14的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持策略限制扩展项,则此项为检测项,否则为非检测项 b 检测所颁发数字证书中是否包含策略限制项检测证书中策略限制项的格式,内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.14证书撤销列表分发点CRLDistributionPoints 依据GB/T20518一2018中5.2.4.2.15的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明 19
GB/T30272一202 测评方法如下如果公钥基础设施支持证书撤销列表分发点扩展项,则此项为检测项,否则为非检测项 a b)检测所颁发数字证书中是否包含证书撤销列表分发点项检测证书中证书撤销列表分发点项的格式,内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.15限制所有策略inhibitAnyPoliey 依据GB/T20518一2018中5.2.4.2.16的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持限制所有策略扩展项,则此项为检测项,否则为非检测项 a b检测所颁发数字证书中是否包含限制所有策略项检测证书中限制所有策略项的格式、内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.1.16最新证书撤销列表freshestCRL 依据GB/T20518一2018中5.2.4.2.17的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 a 如果公钥基础设施支持最新证书撤销列表扩展项,则此项为检测项,否则为非检测项 b)检测所颁发数字证书中是否包含最新证书撤销列表项检测证书中最新证书撤销列表项的格式、内容是否和标准一致 c 如果以上结果全部符合,则本项记录测评结果并对该结果是否完全符合标准相关要求作出判断满足 8.3.1.17个人身份标识码identifyCode 依据GB/T205182018中5.2.4.2.18的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持个人身份标识码扩展项,则此项为检测项,否则为非检测项 a b)检测所颁发数字证书中是否包含个人身份标识码项检测证书中个人身份标识码项的格式、内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 insuranceNumber 8.3.1.18个人社会保险号依据GB/T205182018中5.2.4.2.19的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下 20
GB/30272一2021 如果公钥基础设施支持个人社会保险号扩展项,则此项为检测项,否则为非检测项 a b 检测所颁发数字证书中是否包含个人社会保险号项检测证书中个人社会保险号项的格式、内容是否和标准一致 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.2专用因特网扩展privatelntermetExtensionsidpkix 8.3.2.1机构信息访问authoritylnftoAccess 依据GB/T20518一2018中5.2.4.3.2的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持机构信息访问扩展项,则此项为检测项,否则为非检测项 b 检测所颁发数字证书中是否包含机构信息访问项 c 检测证书中机构信息访问项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 8.3.2.2主体信息访问sbjeetInformationAccess 依据GB/T205182018中5.2.4.3.3的内容进行测评开发者应提供文档,针对所颁发的数字证书格式进行说明测评方法如下如果公钥基础设施支持主体信息访问扩展项,则此项为检测项,否则为非检测项 a b)检测所颁发数字证书中是否包含主体信息访问项 c 检测证书中主体信息访问项的格式、内容是否和标准一致记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足时间戳规范测评 g.1时间戳的产生和颁发 9.1.1申请和颁发方式依据GB/T20520一2006中6.1的内容进行测评开发者应提供文档,针对时间戳的申请和颁发方式进行说明测评方法如下根据开发者提供的时间戳申请和颁发方式,向TsA申请时间戳 b)检测TSA是否向申请者按开发者提供的颁发方式返回时间戳记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.1.2可信时间的产生方法依据GB/T20520一2006中6.2的内容进行测评 21
GB/T30272一202 开发者应提供文档,针对可信时间的产生方法进行说明测评方法为检测TSA能否按规定方式获得可信时间记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.1.3时间的同步依据GB/T20520-2006中6.3的内容进行测评开发者应提供文档,针对时间同步的措施和步骤进行说明测评方法如下在获得可信时间后,检测TsA能否对所有部件的时间进行调整 a b 检测TSA能否在规定时间间隔内定期同步时间调整时间同步的间隔时间,检测TSA能否在规定时间间隔内定期同步时间 d 检测TSA各个部件是否采取统一行动同步时间检测可信时间源是否为第一个启动的部件检测在TsA开始工作之前,是否进行了时间同步在定期同步时间的过程中,模拟无法获得可信时间的情况,检测TSA是否立即停止接受时间戳申请和时间同步,检测是否向管理者发出警报并写人审计日志记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足申请和颁发过程 9.1.4 依据GB/T20520一2006中6.4的内容进行测评开发者应提供文档,针对时间戳的申请和颁发过程进行说明测评方法如下向TsA提交时间戳申请请求,检测请求消息的格式是否符合标准 a b 提交一个不合法的请求信息,检测TsA是否产生一个时间戳的失败响应,检测TsA是否填写申请被拒绝的原因提交一个合法的请求信息,并且使TSA无法颁发这个时间戳,检测TSA是否产生一个时间微的失败响应,检测TSA是否填写申请被拒绝的原因提交一个合法的请求信息,并且TsA运行正常,检测TsA能否颁发一个格式正确的时间戳并签名检测TsA签名系统是青通过可信通道把新生成的时间截发送给时间截数据库,并由时间戳数据库将其归档保存使TSA系统将合法的时间截按规定方式发给用户,检测能否发送成功;在收到合法的时间戳后,检测用户是否验证时间戳的合法性使TsA系统将不合法或错误的时间戳按规定方式发给用户,检测能否发送成功;在收到不合 g 法或错误的时间截后,检测用户能青验证出不合法或错误的时间做 h)测评人员检测TSA对g)中的情况是否有完备的处理预案,并检测处理预案的可行性记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 22
GB/30272一2021 g.2时间戳的管理 9.2.1时间戳的保存依据GB/T20520一2006中7.1.1的内容进行测评开发者应提供文档,针对TsA系统中时间戳的保存进行说明测评方法如下根据说明,检测TSA系统是否保存了所有颁发的时间截 b)检测是否保存了时间戳的以下信息:人库时间、序列号、完整编码记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.2.2时间戳的备份依据GB/T20520-2006中7.2的内容进行测评开发者应提供文档,针对时间戳的备份进行说明测评方法如下 a)检测时间戳的备份是否使用异地备份的方式 b 检测开发者是否采取严格的措施保护时间戳的备份介质,防止备份介质被盗、被毁和受损检测时间戳的备份数据是否以方便检索的方式存放 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.2.3时间戳的检索依据GB/T20520一 -206中73的内容进行测评开发者应提供文档,针对时间截戳的检索进行说明测评方法如下检测TSA是否提供一个时间戳检索的方式 b 检测TSA是否提供现存以及备份的时间戳以供检索检测TsA能否通过时间戳人库的时间进行检索 c d 检测TsA能否通过时间戳的序列号进行检索检测TSA能否通过时间戳的完整编码进行检索 e f 检测时间戳的检索结果能否发送给用户记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.2.4时间戳的删除和销毁 9.2.4.1时间戳的删除依据GB/T20520-2006中7.4.1的内容进行测评开发者应提供文档针对时间戳的删除进行说明测评方法如下以TSA管理员身份登录系统,备份要删除的时间戳,然后删除此时间戳,检测能否删除成功 b)以非授权用户身份登录系统,尝试删除时间戳,检测能否删除成功 23
GB/T30272一202 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.2.4.2时间戳的销毁依据GB/T205202006中7.4.2的内容进行测评开发者应提供文档,针对时间戳的销毁进行说明测评方法如下 a 在TSA证书失效前,尝试销毁所有时间戳,检测能否销毁成功 D)在TSA证书失效后,并且超过了规定的保存时间,以非授权用户身份登录系统,销毁所有时间戳(包括备份),检测能否销毁成功在TSA证书失效后,并且超过了规定的保存时间,以TsA管理员身份登录系统销毁所有时间戳(包括备份),检测能否销毁成功记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 g.2.5时间戳的查看和验证 9.2.5.1时间戳的查看依据GB/T205202006中7.5.1的内容进行测评开发者应提供文档,针对时间戳的查看进行说明测评方法为通过TsA提供的查看时间戳的方法,检测用户能否查看时间戳中所有可查看的内容记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.2.5.2时间戳的验证依据GB/T20520一2006中7.5.2的内容进行测评开发者应提供文档,针对时间戳的验证进行说明测评方法如下通过CRL或0CSP协议.检测用户能否验证TsA证书的有效性 a b) 通过TsA提供的验证时间戳的方法,检测用户能否验证时间戳是由该TsA签发通过TsA提供的验证时间戳的方达,检测用户能否验证时间戳是指定文件的时间截 c 记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.3时间戳的格式 g.3.1对SA的要求依据GB/T205202006中8.1的内容进行测评开发者应提供文档,针对TsA系统进行说明测评方法如下检测所颁发的时间戳里,是否包含以下内容 a 一个可信时间值; 22 一个一次性随机整数(nonce域),若此项不存在则为非检测项 24
GB/30272一2021 33 个唯一的标识符(表明了时间戳生成时的安全策略),若此项不存在则为非检测项检测TSA能否检查单向散列函数的标识符,能否验证散列值长度的正确性 b 检测是否只在散列值上盖时间戳 c d)检测时间截戳内是否包含任何请求方的标识,如果包含,则此项不符合检测TSA系统是否使用专门的密钥对时间戳签名,并检测密钥对应证书中是否说明了该密钥的这个用途使请求方在申请消息的扩展域内提出一些额外的要求,如果TsA支持这些扩展,检测时间戳内是否包含相应的扩展信息使请求方在申请消息的扩展域内提出一些额外的要求,如果TSA不支持这些扩展,检测TSA g 是否返回一个出错信息记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.3.2密钥标识依据GB/T205202006中8.2的内容进行测评开发者应提供文档,针对密钥标识进行说明测评方法为;检测TsA系统的所有密钥对应的证书中,是否包含唯一的KeyUsage扩展域,并检测格式是否正确记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.3.3时间的表示格式依据GB/T20520-2006中8.3的内容进行测评开发者应提供文档,针对时间的表示格式进行说明测评方法为:检测时间戳的时间表示格式是否正确记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 9.3.4时间戳申请和响应消息格式 9.3.4.1 申请消息格式依据GB/T205202006中8.4.1的内容进行测评开发者应提供文档,针对申请消息格式进行说明测评方法为;检测时间戳的申请消息格式是否正确记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项满足 g.3.4.2响应消息格式依据GB/T20520一2006中8.4.2的内容进行测评开发者应提供文档针对响应消息格式进行说明测评方法为:检测时间戳的响应消息格式是否正确记录测评结果并对该结果是否完全符合标准相关要求作出判断如果以上结果全部符合,则本项 25

信息安全技术公钥基础设施标准符合性测评GB/T30272-2021解读

随着信息化和互联网技术的快速发展，越来越多的个人和企业开始依赖于网络进行业务。然而，网络上的安全问题也日益突出。为保障网络的安全，需要建立一套完善的信息安全技术体系。

信息安全技术公钥基础设施是保证网络安全的重要手段之一。公钥基础设施（PKI）是一组结构、策略和技术，用于确保在通信中使用数字证书的安全性。它涉及到密钥管理、数字证书管理、认证、加密和解密等方面。

为了保证公钥基础设施的安全性和可靠性，国家标准化管理委员会发布了《信息安全技术公钥基础设施标准符合性测评GB/T30272-2021》。该标准规定了公钥基础设施的测试方法、测试内容和测试要求，通过对公钥基础设施进行全面检测，以确保其符合国家标准和相关法规。

该标准适用于对公钥基础设施的安全性能、可靠性和互操作性进行测试评估，主要包括以下内容：

PKI架构及其功能组件
数字证书管理
密钥管理
认证及访问控制
安全协议和安全通信
安全审计和日志管理

在测试过程中，需要遵循科学、严谨、客观、公正的原则，并根据实际需求确定测试覆盖范围和深度。测试结果将直接影响到公钥基础设施的安全性和可靠性，因此测试工作必须得到高度重视。

总之，信息安全技术公钥基础设施标准符合性测评GB/T30272-2021的发布，将为公钥基础设施的安全性和可靠性提供更为有效的保障，有助于推动我国信息安全技术的发展。

信息安全技术公钥基础设施标准符合性测评的相关资料

和信息安全技术公钥基础设施标准符合性测评类似的标准

GB/T20008-2005

信息安全技术操作系统安全评估准则

2022/11/1 21:19:55 现行

GB/T20282-2006

信息安全技术信息系统安全工程管理要求

2022/11/4 23:34:29 现行

GB/T20274.1-2006

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

2022/11/4 22:58:45 现行

GB/T20271-2006

信息安全技术信息系统通用安全技术要求

2022/11/4 22:40:21 现行

GB/T20270-2006

信息安全技术网络基础安全技术要求

2022/11/4 22:21:58 现行

GB/T20269-2006

信息安全技术信息系统安全管理要求

2022/11/4 22:03:36 现行

GB/T20984-2007

信息安全技术信息安全风险评估规范

2022/11/3 3:32:13 现行

GB/T21054-2007

信息安全技术公钥基础设施PKI系统安全等级保护评估准则

2022/11/2 14:25:19 现行

GB/T21053-2007

信息安全技术公钥基础设施PKI系统安全等级保护技术要求

2022/11/2 14:06:56 现行

GB/T21052-2007

信息安全技术信息系统物理安全技术要求

2022/11/2 13:48:21 现行

GB/T20274.4-2008

信息安全技术信息系统安全保障评估框架第4部分：工程保障

2022/10/31 23:03:47 现行

GB/T20274.3-2008

信息安全技术信息系统安全保障评估框架第3部分：管理保障

2022/10/31 22:45:02 现行

GB/T24363-2009

信息安全技术信息安全应急响应计划规范

2022/10/24 20:35:57 现行

GB/T25062-2010

信息安全技术鉴别与授权基于角色的访问控制模型与管理规范

2022/10/30 3:45:32 现行

GB/T25069-2010

信息安全技术术语

2022/10/30 1:33:47 现行

2022/11/7 0:04:54 现行

2022/11/6 21:58:59 现行

GB/T3873-1983

通信设备产品包装通用技术条件

2022/11/6 18:50:57 现行

GB/T3971.3-1983

电话自动交换网多频记发器信号技术指标测试方法

2022/11/6 18:19:38 现行

GB/T4653-1984

红外辐射涂料通用技术条件

2022/11/6 17:20:28 现行

GB/T6001-1985

育苗技术规程

2022/11/6 15:59:58 现行

GB/T5444-1985

电话自动交换网用户信号技术指标测试方法

2022/11/6 15:01:35 现行

GB/T5443-1985

电话自动交换网铃流和信号音技术指标测试方法

2022/11/6 14:55:45 现行

2022/11/7 1:21:53 现行

2022/11/9 4:45:44 现行

2022/11/6 23:35:35 现行

GB/T7518-2005

缩微摄影技术在35mm卷片上拍摄古籍的规定

2022/11/6 23:27:45 现行

GB/T7713-1987

科学技术报告、学位论文和学术论文的编写格式

2022/11/6 23:09:37 现行

GB/T8542-1987

透平齿轮传动装置技术条件

2022/11/6 10:09:27 现行

2022/11/6 4:54:21 现行

2022/11/3 5:40:20 现行

信息技术安全技术公钥基础设施在线证书状态协议

2022/11/3 5:21:55 现行

GB/T19771-2005

信息技术安全技术公钥基础设施PKI组件最小互操作规范

2022/11/2 23:00:23 现行

GB/T21054-2007

信息安全技术公钥基础设施PKI系统安全等级保护评估准则

2022/11/2 14:25:19 现行

GB/T21053-2007

信息安全技术公钥基础设施PKI系统安全等级保护技术要求

2022/11/2 14:06:56 现行

GB/T25064-2010

信息安全技术公钥基础设施电子签名格式规范

2022/10/30 1:15:27 现行

GB/T26855-2011

信息安全技术公钥基础设施证书策略与认证业务声明框架

2022/10/30 13:36:10 现行

GB/T29241-2012

信息安全技术公钥基础设施PKI互操作性评估准则

2022/10/23 1:34:23 现行

GB/T29767-2013

信息安全技术公钥基础设施桥CA体系证书分级规范

2022/10/20 9:35:52 现行

GB/T30272-2013

信息安全技术公钥基础设施标准一致性测试评价指南

2022/10/22 21:07:21 现行

GB/T31508-2015

信息安全技术公钥基础设施数字证书策略分类分级规范

2022/10/28 8:08:40 现行

GB/T32213-2015

信息安全技术公钥基础设施远程口令鉴别与密钥建立规范

2022/10/19 19:34:40 现行

GB/T35285-2017

信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求

2022/8/23 19:34:25 现行

GB/T20518-2018

信息安全技术公钥基础设施数字证书格式

2022/8/13 17:50:11 现行

GB/T30272-2021

信息安全技术公钥基础设施标准符合性测评

2022/7/12 12:56:18 即将实施

GB/T30272-2021

信息安全技术公钥基础设施标准符合性测评

2022/7/12 12:56:18 即将实施

GB/T30272-2021

信息安全技术公钥基础设施标准符合性测评

2022/7/12 12:56:18 即将实施

声明： 本站所有资源均来源于互联网，本站仅作为观摩学习的环境，将不对任何资源负法律责任。如果无意侵犯了您的权利，请及时发送邮件到“abc@gbbz.net”，本站会第一时间进行改正或删除处理，保证您的权利！本站资源仅供学习和参考，请勿用于商业用途，并请于下载后24小时内删除，否则产生的一切后果将由您承担！

GB/T30272-2021

信息安全技术公钥基础设施标准符合性测评

Informationsecuritytechnology—Publickeyinfrastructure—Testingandassessmentofcompliancewithstandards

以图片形式预览信息安全技术公钥基础设施标准符合性测评

信息安全技术公钥基础设施标准符合性测评

信息安全技术公钥基础设施标准符合性测评GB/T30272-2021解读

信息安全技术公钥基础设施标准符合性测评的相关资料

和信息安全技术公钥基础设施标准符合性测评类似的标准

相关推荐

网络代理服务器的安全技术要求

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

信息安全技术信息系统通用安全技术要求

信息安全技术网络基础安全技术要求

信息安全技术信息系统安全管理要求

标签