(高清版)GBT 30272-2021 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 標(biāo)準(zhǔn)符合性測評(píng)

代替GB/T30272—2013信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測評(píng)Testingandassessmentofc2021-10-11發(fā)布2022-05-01實(shí)施國家標(biāo)準(zhǔn)化管理委員會(huì)I前言 2規(guī)范性引用文件 13術(shù)語和定義 14縮略語 5在線證書狀態(tài)協(xié)議測評(píng) 25.1總則 25.2安全考慮 46證書管理協(xié)議測評(píng) 46.1必需的PKI管理功能 46.2傳輸 76.3必選的PKI管理消息結(jié)構(gòu) 7組件最小互操作規(guī)范測評(píng) 87.1組件規(guī)范 87.2數(shù)據(jù)格式 8數(shù)字證書格式測評(píng) 8.1基本證書域的數(shù)據(jù)結(jié)構(gòu) 8.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu) 8.3證書擴(kuò)展項(xiàng) 9時(shí)間戳規(guī)范測評(píng) 9.1時(shí)間戳的產(chǎn)生和頒發(fā) 9.2時(shí)間戳的管理 9.3時(shí)間戳的格式 9.4時(shí)間戳系統(tǒng)的安全 10電子簽名格式測評(píng) 10.1基本數(shù)據(jù)格式 10.2驗(yàn)證數(shù)據(jù)格式 10.3簽名策略要求 11基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)測評(píng) 11.1電子簽名相關(guān)數(shù)據(jù)的要求 11.2簽名生成模塊的要求 11.3電子簽名生成過程與應(yīng)用程序要求 ⅡGB/T30272—202111.4電子簽名驗(yàn)證過程與應(yīng)用程序要求 12綜合評(píng)價(jià) 附錄A(資料性)測試項(xiàng)目總表 附錄B(資料性)公鑰基礎(chǔ)設(shè)施測試環(huán)境示例 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T30272—2013《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測試評(píng)價(jià)指南》,與GB/T30272—2013相比，除編輯性改動(dòng)外，主要技術(shù)變化如下：——?jiǎng)h除了“特定權(quán)限管理中心技術(shù)規(guī)范測評(píng)”(見2013年版的4.5);——更改了“數(shù)字證書格式測評(píng)”中的相關(guān)內(nèi)容(見第8章，2013年版的4.4);——增加了“電子簽名格式測評(píng)”(見第10章);——增加了“基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)測評(píng)”(見第11章)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：上海辰銳信息科技公司、公安部第三研究所、中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、格爾軟件股份有限公司、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評(píng)中心)。本文件及其所代替文件的歷次版本發(fā)布情況為：——2013年首次發(fā)布為GB/T30272—2013;——本次為第一次修訂。本文件用于指導(dǎo)測試評(píng)價(jià)者測試與評(píng)價(jià)公鑰基礎(chǔ)設(shè)施是否達(dá)到國家標(biāo)準(zhǔn)要求。本文件依據(jù)國家已頒布、實(shí)施的7個(gè)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，即：——GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議——GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議——GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范——GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式——GB/T20520—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范——GB/T25064—2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范——GB/T35285—2017信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求這7個(gè)標(biāo)準(zhǔn)對(duì)相應(yīng)評(píng)價(jià)測試方法做了詳細(xì)描述。1信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測評(píng)本文件描述了公鑰基礎(chǔ)設(shè)施相關(guān)組件的測試評(píng)價(jià)方法，包括CA、RA、時(shí)間戳子系統(tǒng)、在線證書狀態(tài)查詢子系統(tǒng)、電子簽名及驗(yàn)證子系統(tǒng)、客戶端等組件。本文件適用于按照國家標(biāo)準(zhǔn)GB/T19713—2005、GB/T19714—2005、GB/T19771—2005、GB/T20518—2018、GB/T20520-2006、GB/T25064-2010、GB/T35285-2017進(jìn)行研制開發(fā)的產(chǎn)品類公鑰基礎(chǔ)設(shè)施相關(guān)組件的測試和評(píng)價(jià)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T20520—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范GB/T25064—2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T35275—2017信息安全技術(shù)SM2密碼算法加密簽名消息語法規(guī)范GB/T35285—2017信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗(yàn)證技術(shù)要求3術(shù)語和定義GB/T19713—2005、GB/T19714-2005、GB/T19771-2005、GB/T20518-2018、GB/T20520-2006、GB/T25064—2010、GB/T35285—2017、GB/T25069—2010界定的術(shù)語和定義適用于本文件。4縮略語下列縮略語適用于本文件。BES基本電子簽名(BasisElectronicSignature)CA認(rèn)證機(jī)構(gòu)(CertificationAuthority)CPS認(rèn)證慣例陳述(CertificationPracticeStatement)CRL證書撤銷列表(CertificateRevocationList)2ES電子簽名(ElectronicSignature)ESS增強(qiáng)安全服務(wù)(EnhancedSecurityServices)MIME多用途網(wǎng)絡(luò)郵件擴(kuò)充協(xié)議(MultipurposeInternetMailExtension)OCSP在線證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)OID對(duì)象標(biāo)識(shí)符(ObjectID)PIN個(gè)人身份識(shí)別碼(PersonalIdentificationNumber)PKCS公鑰密碼標(biāo)準(zhǔn)(Public-KeyCryptographyStandards)PKI公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)RA注冊(cè)機(jī)構(gòu)(RegistrationAuthority)TSA時(shí)間戳機(jī)構(gòu)(TimeStampAuthority)5在線證書狀態(tài)協(xié)議測評(píng)5.1總則依據(jù)GB/T19713—2005中5.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書狀態(tài)協(xié)議進(jìn)行說明。測評(píng)方法如下。a)由OCSP請(qǐng)求者發(fā)送多個(gè)不同狀態(tài)證書的狀態(tài)請(qǐng)求，檢測OCSP響應(yīng)器是否提供了正確的證書狀態(tài)響應(yīng)。b)檢測OCSP請(qǐng)求是否包含以下數(shù)據(jù)：協(xié)議版本、服務(wù)請(qǐng)求、目標(biāo)證書標(biāo)識(shí)符、其他擴(kuò)展數(shù)據(jù)(如OCSP請(qǐng)求者的簽名、隨機(jī)數(shù)等)。c)使用工具發(fā)送不正確報(bào)文格式的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。d)使用工具發(fā)送響應(yīng)器沒有配置所要求服務(wù)的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。e)使用工具發(fā)送不完整信息的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)響應(yīng)簽名的密鑰、響應(yīng)消息格式、響應(yīng)消息內(nèi)容等進(jìn)行說明。測評(píng)方法如下。a)模擬各種身份的OCSP請(qǐng)求者，發(fā)送多個(gè)不同狀態(tài)證書的狀態(tài)請(qǐng)求，OCSP響應(yīng)請(qǐng)求，檢測此過程中是否對(duì)所有明確的響應(yīng)報(bào)文都進(jìn)行數(shù)字簽名。b)檢測響應(yīng)簽名的密鑰是否為下列三種情況之一：1)簽發(fā)待查詢證書的CA公鑰；2)可信賴的響應(yīng)器的公鑰；3)CA指定的響應(yīng)器公鑰。c)由OCSP請(qǐng)求者發(fā)送多個(gè)不同狀態(tài)證書的狀態(tài)請(qǐng)求，檢測OCSP響應(yīng)器的響應(yīng)消息中是否包含以下內(nèi)容：1)響應(yīng)語法的版本；32)響應(yīng)器的名稱；3)對(duì)請(qǐng)求中每個(gè)證書的響應(yīng)；4)可選的擴(kuò)展；5)簽名算法的OID;6)響應(yīng)的雜湊值簽名。d)檢測對(duì)請(qǐng)求中每個(gè)證書的響應(yīng)，是否包含以下內(nèi)容：1)目標(biāo)證書標(biāo)識(shí)符；2)證書狀態(tài)值；3)響應(yīng)的有效期限；4)可選的擴(kuò)展。e)檢測OCSP響應(yīng)消息中，證書狀態(tài)值是否為以下三種響應(yīng)標(biāo)識(shí)符之一，并檢測證書狀態(tài)是否與實(shí)際一致：1)Good,表示對(duì)狀態(tài)查詢的肯定響應(yīng)；2)Revoked(已撤銷),表示證書已被撤銷；3)Unknown(未知),表示響應(yīng)器不能鑒別待驗(yàn)證狀態(tài)的證書。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。如果不包含可選的擴(kuò)展，并且其他結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)OCSP響應(yīng)器返回的錯(cuò)誤消息進(jìn)行說明。測評(píng)方法如下。a)使用工具發(fā)送一個(gè)沒有遵循OCSP語法的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。b)使響應(yīng)器處于非協(xié)調(diào)的工作狀態(tài)，發(fā)送一個(gè)正常請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。c)使響應(yīng)器處于不能返回所請(qǐng)求證書的狀態(tài)，發(fā)送一個(gè)證書請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。d)使用工具發(fā)送一個(gè)沒有簽名的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。e)使用工具發(fā)送一個(gè)未授權(quán)的請(qǐng)求，檢測OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)thisUpdate、nextUpdate和producedAt的語義進(jìn)行說明。測評(píng)方法為：發(fā)送多個(gè)證書請(qǐng)求，檢測OCSP響應(yīng)消息是否包含以下時(shí)間字段：a)thisUpdate:此次更新時(shí)間；b)nextUpdate(可選字段):下次更新時(shí)間；若沒有設(shè)置此字段，需指明隨時(shí)可以獲得更新的撤銷信息；4記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。如果不包含可選字段nextUpdate,并且指明了隨時(shí)可以獲得更新的撤銷信息，其他結(jié)果全部符依據(jù)GB/T19713—2005中5.7的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書狀態(tài)協(xié)議中OCSP簽名機(jī)構(gòu)的委托過程進(jìn)行說明。測評(píng)方法如下。a)如果簽署證書狀態(tài)信息的密鑰與簽署證書的密鑰不同，由CA向響應(yīng)器簽發(fā)一個(gè)含有extend-edKeyUsage唯一值的證書。b)發(fā)送一個(gè)證書狀態(tài)查詢請(qǐng)求，檢測響應(yīng)器能否用上述證書對(duì)證書狀態(tài)信息進(jìn)行簽名。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.8的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)CA密鑰泄露時(shí)OCSP響應(yīng)器的設(shè)置進(jìn)行說明。測評(píng)方法如下。a)在OCSP響應(yīng)器中，將某一個(gè)CA的狀態(tài)設(shè)置為私鑰泄露。b)發(fā)送一個(gè)上述CA簽發(fā)的證書狀態(tài)查詢請(qǐng)求，檢測OCSP響應(yīng)器能否返回上述CA簽發(fā)的所有證書已撤銷的狀態(tài)信息。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。5.2安全考慮依據(jù)GB/T19713—2005中第8章的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書狀態(tài)協(xié)議進(jìn)行脆弱性分析。測評(píng)方法為：查看開發(fā)者提供的脆弱性分析報(bào)告，檢測OCSP系統(tǒng)能否抵御標(biāo)準(zhǔn)中的相關(guān)攻擊(至少應(yīng)該包括拒絕服務(wù)攻擊和重放攻擊)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6證書管理協(xié)議測評(píng)6.1必需的PKI管理功能依據(jù)GB/T19714—2005中8.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)根CA初始化的過程進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者文檔，產(chǎn)生一對(duì)根CA的密鑰對(duì)，并將密鑰對(duì)中的私鑰進(jìn)行保存，檢測根密鑰的保存方式是否安全(例如：保存在加密機(jī)或加密卡中，并受口令保護(hù))。5b)選擇根CA的密鑰對(duì)進(jìn)行根CA初始化，用產(chǎn)生的私鑰為公鑰簽發(fā)證書，產(chǎn)生自簽名證書，檢測這個(gè)證書的結(jié)構(gòu)是否和“newWithNew”證書結(jié)構(gòu)相同。c)為CA的公鑰產(chǎn)生一個(gè)指紋，并檢測傳遞指紋的數(shù)據(jù)結(jié)構(gòu)是否為OOBCertHash。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)根CA密鑰更新的過程進(jìn)行說明。測評(píng)方法如下。a)在CA的生命周期到期前，模擬一次根CA密鑰更新的過程。b)產(chǎn)生新的根CA的密鑰對(duì)。c)產(chǎn)生一個(gè)用新私鑰為舊公鑰簽名的證書(“OldWithNew”證書)。d)產(chǎn)生一個(gè)用舊私鑰為新公鑰簽名的證書(“NewWithOld”證書)。e)產(chǎn)生一個(gè)用新私鑰為新公鑰簽名的證書(“NewWithNew”證書)。f)發(fā)布這些新證書。h)使用CA的新密鑰為一個(gè)終端實(shí)體簽發(fā)一個(gè)新證書。i)利用CA舊公鑰的終端實(shí)體，獲得NewWithOld證書，并驗(yàn)證上述新證書。j)利用CA新公鑰的終端實(shí)體，獲得OldWithNew證書，并驗(yàn)證CA舊密鑰簽發(fā)的舊證書。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6.1.3下級(jí)CA初始化依據(jù)GB/T19714—2005中8.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)下級(jí)CA初始化的過程進(jìn)行說明。測評(píng)方法如下。a)在下級(jí)CA初始化之前，檢測下級(jí)CA能否獲得以下PKI信息：1)當(dāng)前根CA的公鑰，并使用雜湊值對(duì)根CA公鑰進(jìn)行帶外驗(yàn)證；2)撤銷列表以及撤銷列表的認(rèn)證路徑；3)所支持的每一種相關(guān)應(yīng)用的算法和算法變量。b)模擬一次下級(jí)CA初始化的過程：產(chǎn)生下級(jí)CA密鑰，利用根證書產(chǎn)生下級(jí)CA的簽名證書。c)產(chǎn)生初始的撤銷列表。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)CRL產(chǎn)生的過程進(jìn)行說明。測評(píng)方法如下。a)在發(fā)布證書之前，在新建立CA中產(chǎn)生空的CRL列表。6b)檢測能否操作成功。c)撤銷一張證書，檢測CRL是否可以正常更新。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)PKI信息請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)評(píng)價(jià)者模擬各種PKI信息請(qǐng)求，檢測CA是否能夠提供請(qǐng)求者要求的所有請(qǐng)求信息，如果某些信息不能提供，CA是否給請(qǐng)求者返回錯(cuò)誤信息。b)檢測文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.6的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)交叉認(rèn)證過程進(jìn)行說明。測評(píng)方法如下。a)評(píng)價(jià)者模擬一次交叉認(rèn)證過程。b)新建三個(gè)獨(dú)立的CA系統(tǒng)，分別命名為A、B、C。d)以CA系統(tǒng)A為請(qǐng)求者，CA系統(tǒng)B為響應(yīng)者，進(jìn)行交叉認(rèn)證操作，檢測操作過程和消息結(jié)構(gòu)是否符合標(biāo)準(zhǔn)要求。e)在擁有證書b的終端實(shí)體上，使用交叉認(rèn)證證書驗(yàn)證證書a,應(yīng)能驗(yàn)證成功。f)在擁有證書b的終端實(shí)體上，驗(yàn)證證書c,驗(yàn)證應(yīng)不成功。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)提供交叉認(rèn)證功能，以上結(jié)果全部正確，則本項(xiàng)滿足；如果系統(tǒng)不提供交叉認(rèn)證功能，則此項(xiàng)不作為最終結(jié)果的判斷依據(jù)。6.1.7終端實(shí)體初始化依據(jù)GB/T19714—2005中8.7.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)終端實(shí)體初始化過程中的“獲得PKI信息”這一步驟進(jìn)行說明。測評(píng)方法為：在終端實(shí)體初始化之前，檢測能否獲得以下PKI信息：a)當(dāng)前根CA的公鑰；b)撤銷列表以及撤銷列表的認(rèn)證路徑；c)所支持的每一種相關(guān)應(yīng)用的算法和算法參數(shù)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.8的內(nèi)容進(jìn)行測評(píng)。7開發(fā)者應(yīng)提供文檔，針對(duì)證書模板和證書請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)對(duì)每一種證書模板，選擇一個(gè)經(jīng)過初始化的終端實(shí)體，提出證書請(qǐng)求。b)檢測這個(gè)請(qǐng)求是否使用證書請(qǐng)求消息。c)檢測能否返回所申請(qǐng)的新證書。d)選擇一個(gè)已經(jīng)擁有一對(duì)簽名密鑰(帶有相應(yīng)的驗(yàn)證證書)的終端實(shí)體，提出證書請(qǐng)求。e)檢測證書請(qǐng)求消息是否使用此實(shí)體的數(shù)字簽名來保護(hù)。f)檢測能否返回所申請(qǐng)的新證書。g)檢查文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.9的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)密鑰更新進(jìn)行說明。測評(píng)方法如下。a)在終端實(shí)體的證書將要過期前，評(píng)價(jià)者模擬密鑰更新的過程。b)檢查文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中第9章的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，說明在終端實(shí)體、RA、CA之間傳輸PKI消息的傳輸協(xié)議和消息格式。測評(píng)方法如下。a)如果PKI消息通過文件傳輸，檢測PKI消息的格式是否符合標(biāo)準(zhǔn)要求。b)如果PKI消息通過TCP管理協(xié)議傳輸，檢測PKI消息的格式是否符合標(biāo)準(zhǔn)要求。c)如果PKI消息通過E-mail方式傳輸，檢測PKI消息的格式是否符合標(biāo)準(zhǔn)要求。d)如果PKI消息通過HTTP方式傳輸，檢測PKI消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)支持的每種傳輸方式的消息格式和傳輸協(xié)議均符合標(biāo)準(zhǔn)要求，則本項(xiàng)滿足。6.3必選的PKI管理消息結(jié)構(gòu)6.3.1初始的注冊(cè)/認(rèn)證(基本認(rèn)證方案)依據(jù)GB/T19714—2005中B.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，說明初始的注冊(cè)/認(rèn)證的消息格式。測評(píng)方法為：通過未初始化的終端實(shí)體向CA請(qǐng)求第一個(gè)證書，根據(jù)開發(fā)者所提供的文檔，檢測終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8依據(jù)GB/T19714—2005中B.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，說明證書請(qǐng)求的消息格式。測評(píng)方法為：通過已經(jīng)初始化的終端實(shí)體向CA請(qǐng)求證書，根據(jù)開發(fā)者所提供的文檔，檢測終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6.3.3密鑰更新請(qǐng)求依據(jù)GB/T19714—2005中B.6的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，說明密鑰更新請(qǐng)求的消息格式。測評(píng)方法為：在密鑰即將過期前，通過已經(jīng)初始化的終端實(shí)體向CA請(qǐng)求證書(用于更新密鑰對(duì)和/或已經(jīng)擁有的相應(yīng)證書),根據(jù)開發(fā)者所提供的文檔，檢測終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)7組件最小互操作規(guī)范測評(píng)7.1組件規(guī)范頒發(fā)數(shù)字簽名證書依據(jù)GB/T19771—2005中5.2.2a)的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)數(shù)字簽名證書的頒發(fā)進(jìn)行說明。測評(píng)方法如下。a)對(duì)每一種證書模板，通過授權(quán)RA產(chǎn)生多個(gè)簽名數(shù)字證書請(qǐng)求，并發(fā)送給CA,檢測CA能否生成新證書并將其放在資料庫中。b)通過非授權(quán)RA產(chǎn)生一個(gè)簽名數(shù)字證書請(qǐng)求，并發(fā)送給CA,檢測CA能否拒絕該證書申請(qǐng)，能否向RA報(bào)告失敗并說明原因。c)通過授權(quán)RA產(chǎn)生一個(gè)包含不匹配信息的簽名數(shù)字證書請(qǐng)求，并發(fā)送給CA,檢測CA能否拒絕該證書申請(qǐng)，能否向RA報(bào)告失敗并說明原因。d)對(duì)每一種證書模板，產(chǎn)生多個(gè)自我注冊(cè)的證書請(qǐng)求，并發(fā)送給CA,檢測CA是否驗(yàn)證請(qǐng)求者的身份并驗(yàn)證申請(qǐng)者的相應(yīng)私鑰，如果驗(yàn)證成功，檢測CA能否生成新證書并將其放在資料庫中；如果驗(yàn)證失敗，檢測CA能否拒絕該證書申請(qǐng)，能否向申請(qǐng)者報(bào)告失敗并說明原因。e)對(duì)每一種證書模板，產(chǎn)生多個(gè)更新的證書請(qǐng)求，并發(fā)送給CA,檢測CA是否驗(yàn)證請(qǐng)求者的身份，如果驗(yàn)證成功，檢測CA能否生成新證書并將其放在資料庫中；如果簽名無效或者CA策略不允許更新，檢測CA能否拒絕該證書更新請(qǐng)求，并向申請(qǐng)者報(bào)告失敗并說明原因。f)以非法的請(qǐng)求者產(chǎn)生一個(gè)更新的證書請(qǐng)求，檢測CA能否拒絕該證書更新請(qǐng)求，能否向申請(qǐng)者報(bào)告失敗并說明原因。9記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2b)的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)加密證書的頒發(fā)進(jìn)行說明。測評(píng)方法如下。a)由第三方集中產(chǎn)生加密密鑰對(duì)，并通過帶外方式提供給CA。b)由證書持有者生成一個(gè)加密證書請(qǐng)求，說明自己想要的加密算法，并對(duì)該請(qǐng)求進(jìn)行數(shù)字簽名，將該請(qǐng)求發(fā)送給CA。c)檢測CA能否驗(yàn)證請(qǐng)求者身份，并頒發(fā)加密證書和加密私鑰給請(qǐng)求者。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2c)的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)CA間的交叉認(rèn)證進(jìn)行說明。測評(píng)方法如下。a)在兩個(gè)交叉認(rèn)證的CA之間交換CA的公鑰，分別根據(jù)對(duì)方的公鑰生成證書，并將其存放到資料庫中。b)檢測雙方之間的證書能否交叉認(rèn)證。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)提供交叉認(rèn)證功能，以上結(jié)果全部正確，則本項(xiàng)滿足；如果系統(tǒng)不提供交叉認(rèn)證功能，則此項(xiàng)不作為最終結(jié)果的判斷依據(jù)。依據(jù)GB/T19771—2005中5.2.2d)的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)證書的撤銷進(jìn)行說明。測評(píng)方法如下。a)以多個(gè)證書持有者身份請(qǐng)求撤銷證書，并將請(qǐng)求發(fā)送給CA,檢測CA是否驗(yàn)證請(qǐng)求者身份，驗(yàn)證成功后能否將證書放入CRL中。b)產(chǎn)生新的全量CRL,檢測老CRL中的全部信息是否放到新CRL中。c)產(chǎn)生新的增量CRL,檢測新增的撤銷證書信息是否放到新CRL中。d)通過RA向CA發(fā)送多個(gè)證書撤銷請(qǐng)求，檢測CA是否驗(yàn)證請(qǐng)求者身份，驗(yàn)證成功后能否將證書放入CRL中。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2f)的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)向上一級(jí)CA申請(qǐng)證書進(jìn)行說明。測評(píng)方法為：通過CA向上一級(jí)的CA申請(qǐng)證書，檢測能否申請(qǐng)成功。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)RA的操作規(guī)范進(jìn)行說明。測評(píng)方法如下。a)針對(duì)每一種證書模板，向RA提交多個(gè)CertReq格式的證書請(qǐng)求。b)檢測RA是否審查請(qǐng)求者的身份。c)檢測RA是否確認(rèn)請(qǐng)求者擁有相應(yīng)的完整的密鑰對(duì)。d)驗(yàn)證通過后，檢測RA能否抽取公鑰信息并用RA的名字和簽名建立一個(gè)新的CertReq消息。e)檢測RA能否將新的CertReq消息發(fā)送給CA。f)如果證書請(qǐng)求被接受，檢測RA能否接收CA頒發(fā)的新證書，并將新證書發(fā)送給請(qǐng)求者。g)如果證書請(qǐng)求被拒絕，檢測RA能否審查從CA發(fā)來的錯(cuò)誤代碼并向證書請(qǐng)求者返回證書拒絕的響應(yīng)消息。h)向RA提交多個(gè)證書撤銷請(qǐng)求，檢測RA是否驗(yàn)證請(qǐng)求者身份，并產(chǎn)生新的RevReq消息。i)檢測RA能否將新的RevReq消息發(fā)送給CA。j)如果證書撤銷請(qǐng)求被接受，檢測RA能否接收CA回應(yīng)的RevReq消息，能否將此信息提交給請(qǐng)求者。k)如果證書撤銷請(qǐng)求被拒絕，檢測RA能否審查錯(cuò)誤代碼，并再次產(chǎn)生撤銷請(qǐng)求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。7.1.3證書持有者規(guī)范依據(jù)GB/T19771—2005中5.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)證書持有者規(guī)范進(jìn)行說明。測評(píng)方法如下。a)以多個(gè)用戶身份申請(qǐng)簽名證書，檢測能否成功申請(qǐng)并且獲取證書。b)以多個(gè)用戶身份申請(qǐng)加密證書，檢測能否成功申請(qǐng)并且獲取證書。c)以多個(gè)證書持有者身份，申請(qǐng)撤銷簽名證書，檢測能否成功撤銷證書。d)以多個(gè)證書持有者身份，申請(qǐng)更新簽名證書，檢測能否成功更新證書。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)客戶規(guī)范進(jìn)行說明。測評(píng)方法如下。a)驗(yàn)證客戶能否驗(yàn)證簽名。b)驗(yàn)證客戶能否從查詢服務(wù)器檢索證書和CRLs。c)驗(yàn)證客戶能否驗(yàn)證證書認(rèn)證路徑。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)7.2數(shù)據(jù)格式7.2.1證書撤銷列表依據(jù)GB/T19771—2005中6.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)證書撤銷列表的格式進(jìn)行說明。測評(píng)方法如下。a)由CA頒發(fā)證書撤銷列表。b)下載證書撤銷列表，檢測證書撤銷列表的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。7.2.2事務(wù)消息格式依據(jù)GB/T19771—2005中6.5.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)PKI消息的格式進(jìn)行說明。測評(píng)方法為：根據(jù)開發(fā)者提供的文檔，檢測PKI消息(包括：header、body、p段)的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.5.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)證書模板、簽名私鑰的擁有證明、證書請(qǐng)求消息、協(xié)議加密密鑰控制、PKI消息狀態(tài)碼、失敗信息、確認(rèn)協(xié)議、證書識(shí)別、Cen測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，檢測證書模板的消息格式是否符合標(biāo)準(zhǔn)要求。b)根據(jù)開發(fā)者提供的文檔，檢測簽名私鑰的擁有證明消息格式是否符合標(biāo)準(zhǔn)要求。c)根據(jù)開發(fā)者提供的文檔，檢測證書請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。d)根據(jù)開發(fā)者提供的文檔，檢測協(xié)議加密密鑰控制的消息格式是否符合標(biāo)準(zhǔn)要求。e)根據(jù)開發(fā)者提供的文檔，檢測PKI消息狀態(tài)碼的消息格式是否符合標(biāo)準(zhǔn)要求。f)根據(jù)開發(fā)者提供的文檔，檢測失敗信息的消息格式是否符合標(biāo)準(zhǔn)要求。g)根據(jù)開發(fā)者提供的文檔，檢測確認(rèn)協(xié)議的消息格式是否符合標(biāo)準(zhǔn)要求。h)根據(jù)開發(fā)者提供的文檔，檢測證書識(shí)別的消息格式是否符合標(biāo)準(zhǔn)要求。i)根據(jù)開發(fā)者提供的文檔，檢測CentrallyGeneratedKeys的消息格式是否符合標(biāo)準(zhǔn)要求。j)根據(jù)開發(fā)者提供的文檔，檢測帶外信息的消息格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。特殊操作的數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T19771—2005中6.5.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)注冊(cè)/證書請(qǐng)求、注冊(cè)/證書響應(yīng)、撤銷請(qǐng)求的內(nèi)容、撤銷響應(yīng)內(nèi)容、PKCS#10證書請(qǐng)求的消息格式進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，檢測注冊(cè)/證書請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。b)根據(jù)開發(fā)者提供的文檔，檢測注冊(cè)/證書響應(yīng)的擁有證明消息格式是否符合標(biāo)準(zhǔn)要求。c)根據(jù)開發(fā)者提供的文檔，檢測撤銷請(qǐng)求的內(nèi)容的消息格式是否符合標(biāo)準(zhǔn)要求。d)根據(jù)開發(fā)者提供的文檔，檢測撤銷響應(yīng)內(nèi)容的消息格式是否符合標(biāo)準(zhǔn)要求。e)根據(jù)開發(fā)者提供的文檔，檢測PKCS#10證書請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.2的內(nèi)容進(jìn)行測評(píng)。如果產(chǎn)品支持遠(yuǎn)端RA,則開發(fā)者應(yīng)提供文檔，針對(duì)RA發(fā)起的注冊(cè)請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，對(duì)每一種證書模板，在RA上向CA請(qǐng)求多個(gè)終端實(shí)體的證書。b)檢測從RA到CA的證書請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從CA到RA的證書回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。新實(shí)體的自我注冊(cè)請(qǐng)求依據(jù)GB/T19771—2005中6.6.3的內(nèi)容進(jìn)行測評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開發(fā)者應(yīng)提供文檔，針對(duì)新實(shí)體的自我注冊(cè)請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，對(duì)每一種證書模板，以多個(gè)新實(shí)體身份直接向CA申請(qǐng)新的證書。b)檢測從證書持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從CA到證書請(qǐng)求者的自我注冊(cè)請(qǐng)求回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。已知實(shí)體的自我注冊(cè)請(qǐng)求依據(jù)GB/T19771—2005中6.6.4的內(nèi)容進(jìn)行測評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開發(fā)者應(yīng)提供文檔，針對(duì)已知實(shí)體的自我注冊(cè)請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，對(duì)每一種證書模板，以多個(gè)已知實(shí)體身份直接向CA申請(qǐng)新的證書。b)檢測從證書持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從CA到證書請(qǐng)求者的自我注冊(cè)請(qǐng)求回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.5的內(nèi)容進(jìn)行測評(píng)。如果CA的CPS支持證書更新，則開發(fā)者應(yīng)提供文檔，針對(duì)證書的更新進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，對(duì)每一種證書模板，以多個(gè)擁有當(dāng)前有效證書的實(shí)體身份直接向CA申請(qǐng)新的證書。b)檢測從證書持有者到CA的證書更新申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從CA到證書持有者的證書更新響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.6的內(nèi)容進(jìn)行測評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開發(fā)者應(yīng)提供文檔，針對(duì)PKCS#10自我注冊(cè)請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，對(duì)每一種證書模板，以多個(gè)新實(shí)體身份直接向CA申請(qǐng)新的PKCS#10證書。b)檢測從證書持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從CA到證書請(qǐng)求者的PKCS證書請(qǐng)求響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.7的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)撤銷請(qǐng)求進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，以多個(gè)擁有當(dāng)前有效證書的實(shí)體身份直接申請(qǐng)撤銷自己的證書。b)檢測從證書持有者到RA的撤銷請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測從RA到CA的撤銷請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測從CA到RA的撤銷響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。e)檢測從RA到證書持有者的撤銷響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。集中產(chǎn)生密鑰對(duì)和密鑰管理證書申請(qǐng)依據(jù)GB/T19771—2005中6.6.8的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)集中產(chǎn)生密鑰對(duì)和密鑰管理證書申請(qǐng)進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，以多個(gè)擁有當(dāng)前有效證書的實(shí)體身份向CA申請(qǐng)產(chǎn)生加密密鑰并簽發(fā)證書。b)檢測集中產(chǎn)生密鑰對(duì)申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測集中產(chǎn)生密鑰對(duì)回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.9的內(nèi)容進(jìn)行測評(píng)。如果CA支持組合證書，則開發(fā)者應(yīng)提供文檔，針對(duì)組合證書申請(qǐng)進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的文檔，以多個(gè)新實(shí)體身份向CA申請(qǐng)組合證書：一個(gè)簽名密鑰證書和加密證書。b)檢測組合證書申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測組合證書回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8數(shù)字證書格式測評(píng)8.1基本證書域的數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T20518—2018中5.2.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)對(duì)每一種證書模板，使用公鑰基礎(chǔ)設(shè)施頒發(fā)多個(gè)數(shù)字證書。b)檢測所頒發(fā)數(shù)字證書的基本數(shù)據(jù)結(jié)構(gòu)是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含版本項(xiàng)。b)檢測證書中版本項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含序列號(hào)項(xiàng)。b)檢測證書中序列號(hào)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含簽名算法項(xiàng)。b)檢測證書中簽名算法項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含頒發(fā)者項(xiàng)。b)檢測證書中頒發(fā)者項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含有效期項(xiàng)。b)檢測證書中有效期項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含主體項(xiàng)。b)檢測證書中主體項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含主體公鑰信息項(xiàng)。b)檢測證書中主體公鑰信息項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.2.8頒發(fā)者唯一標(biāo)識(shí)符issuerUniqueID依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法為：檢測所頒發(fā)數(shù)字證書中是否包含頒發(fā)者唯一標(biāo)識(shí)符項(xiàng)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法為：檢測所頒發(fā)數(shù)字證書中是否包含主體唯一標(biāo)識(shí)符項(xiàng)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.3證書擴(kuò)展項(xiàng)頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符authorityKeyIdentifier依據(jù)GB/T20518—2018中.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符項(xiàng)。b)檢測證書中頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。主體密鑰標(biāo)識(shí)符subjec依據(jù)GB/T20518—2018中.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含主體密鑰標(biāo)識(shí)符項(xiàng)。b)檢測證書中主體密鑰標(biāo)識(shí)符項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含密鑰用法項(xiàng)。b)檢測證書中密鑰用法項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持?jǐn)U展密鑰用途擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含擴(kuò)展密鑰用途項(xiàng)。c)檢測證書中擴(kuò)展密鑰用途項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.6的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持私有密鑰使用期擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含私有密鑰使用期項(xiàng)。c)檢測證書中私有密鑰使用期項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.7的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含證書策略項(xiàng)。b)檢測證書中證書策略項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.8的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持策略映射擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含策略映射項(xiàng)。c)檢測證書中策略映射項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.9的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果證書中的唯一主體身份是一個(gè)選擇名稱格式(如一個(gè)電子郵件地址),主體的甄別名為空序列，則本項(xiàng)為檢測項(xiàng)目，否則為非檢測項(xiàng)。b)檢測證書中主體替換名稱項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.10的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持頒發(fā)者替換名稱擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含頒發(fā)者替換名稱項(xiàng)。c)檢測證書中頒發(fā)者替換名稱項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.11的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持主體目錄屬性擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含主體目錄屬性項(xiàng)。c)檢測證書中主體目錄屬性項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.12的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)數(shù)字證書中是否包含基本限制項(xiàng)。b)如果包含基本限制項(xiàng)，檢測證書中基本限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。c)如果不包含基本限制項(xiàng)，則該項(xiàng)為非檢測項(xiàng)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.13的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持名稱限制擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含名稱限制項(xiàng)。c)檢測證書中名稱限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.14的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持策略限制擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含策略限制項(xiàng)。c)檢測證書中策略限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。4證書撤銷列表分發(fā)點(diǎn)CRLDistributionPoints依據(jù)GB/T20518—2018中.15的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持證書撤銷列表分發(fā)點(diǎn)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含證書撤銷列表分發(fā)點(diǎn)項(xiàng)。c)檢測證書中證書撤銷列表分發(fā)點(diǎn)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.16的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持限制所有策略擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含限制所有策略項(xiàng)。c)檢測證書中限制所有策略項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6最新證書撤銷列表freshestCRL依據(jù)GB/T20518—2018中.17的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持最新證書撤銷列表擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含最新證書撤銷列表項(xiàng)。c)檢測證書中最新證書撤銷列表項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.18的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持個(gè)人身份標(biāo)識(shí)碼擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含個(gè)人身份標(biāo)識(shí)碼項(xiàng)。c)檢測證書中個(gè)人身份標(biāo)識(shí)碼項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.19的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持個(gè)人社會(huì)保險(xiǎn)號(hào)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含個(gè)人社會(huì)保險(xiǎn)號(hào)項(xiàng)。c)檢測證書中個(gè)人社會(huì)保險(xiǎn)號(hào)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.3.2專用因特網(wǎng)擴(kuò)展privateInternetExtensionsid-pkix依據(jù)GB/T20518—2018中.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持機(jī)構(gòu)信息訪問擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含機(jī)構(gòu)信息訪問項(xiàng)。c)檢測證書中機(jī)構(gòu)信息訪問項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書格式進(jìn)行說明。測評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持主體信息訪問擴(kuò)展項(xiàng)，則此項(xiàng)為檢測項(xiàng)，否則為非檢測項(xiàng)。b)檢測所頒發(fā)數(shù)字證書中是否包含主體信息訪問項(xiàng)。c)檢測證書中主體信息訪問項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9時(shí)間戳規(guī)范測評(píng)9.1時(shí)間戳的產(chǎn)生和頒發(fā)9.1.1申請(qǐng)和頒發(fā)方式依據(jù)GB/T20520—2006中6.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的申請(qǐng)和頒發(fā)方式進(jìn)行說明。測評(píng)方法如下。a)根據(jù)開發(fā)者提供的時(shí)間戳申請(qǐng)和頒發(fā)方式，向TSA申請(qǐng)時(shí)間戳。b)檢測TSA是否向申請(qǐng)者按開發(fā)者提供的頒發(fā)方式返回時(shí)間戳。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.1.2可信時(shí)間的產(chǎn)生方法依據(jù)GB/T20520—2006中6.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)可信時(shí)間的產(chǎn)生方法進(jìn)行說明。測評(píng)方法為：檢測TSA能否按規(guī)定方式獲得可信時(shí)間。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中6.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間同步的措施和步驟進(jìn)行說明。測評(píng)方法如下。a)在獲得可信時(shí)間后，檢測TSA能否對(duì)所有部件的時(shí)間進(jìn)行調(diào)整。b)檢測TSA能否在規(guī)定時(shí)間間隔內(nèi)定期同步時(shí)間。c)調(diào)整時(shí)間同步的間隔時(shí)間，檢測TSA能否在規(guī)定時(shí)間間隔內(nèi)定期同步時(shí)間。d)檢測TSA各個(gè)部件是否采取統(tǒng)一行動(dòng)同步時(shí)間。e)檢測可信時(shí)間源是否為第一個(gè)啟動(dòng)的部件。f)檢測在TSA開始工作之前，是否進(jìn)行了時(shí)間同步。g)在定期同步時(shí)間的過程中，模擬無法獲得可信時(shí)間的情況，檢測TSA是否立即停止接受時(shí)間戳申請(qǐng)和時(shí)間同步，檢測是否向管理者發(fā)出警報(bào)并寫入審計(jì)日志。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.1.4申請(qǐng)和頒發(fā)過程依據(jù)GB/T20520—2006中6.4的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的申請(qǐng)和頒發(fā)過程進(jìn)行說明。測評(píng)方法如下。a)向TSA提交時(shí)間戳申請(qǐng)請(qǐng)求，檢測請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)。b)提交一個(gè)不合法的請(qǐng)求信息，檢測TSA是否產(chǎn)生一個(gè)時(shí)間戳的失敗響應(yīng)，檢測TSA是否填寫申請(qǐng)被拒絕的原因。c)提交一個(gè)合法的請(qǐng)求信息，并且使TSA無法頒發(fā)這個(gè)時(shí)間戳，檢測TSA是否產(chǎn)生一個(gè)時(shí)間戳的失敗響應(yīng)，檢測TSA是否填寫申請(qǐng)被拒絕的原因。d)提交一個(gè)合法的請(qǐng)求信息，并且TSA運(yùn)行正常，檢測TSA能否頒發(fā)一個(gè)格式正確的時(shí)間戳并簽名。e)檢測TSA簽名系統(tǒng)是否通過可信通道把新生成的時(shí)間戳發(fā)送給時(shí)間戳數(shù)據(jù)庫，并由時(shí)間戳數(shù)據(jù)庫將其歸檔保存。f)使TSA系統(tǒng)將合法的時(shí)間戳按規(guī)定方式發(fā)給用戶，檢測能否發(fā)送成功；在收到合法的時(shí)間戳后，檢測用戶是否驗(yàn)證時(shí)間戳的合法性。g)使TSA系統(tǒng)將不合法或錯(cuò)誤的時(shí)間戳按規(guī)定方式發(fā)給用戶，檢測能否發(fā)送成功；在收到不合法或錯(cuò)誤的時(shí)間戳后，檢測用戶能否驗(yàn)證出不合法或錯(cuò)誤的時(shí)間戳。h)測評(píng)人員檢測TSA對(duì)g)中的情況是否有完備的處理預(yù)案，并檢測處理預(yù)案的可行性。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)9.2時(shí)間戳的管理9.2.1時(shí)間戳的保存依據(jù)GB/T20520—2006中7.1.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)TSA系統(tǒng)中時(shí)間戳的保存進(jìn)行說明。測評(píng)方法如下。a)根據(jù)說明，檢測TSA系統(tǒng)是否保存了所有頒發(fā)的時(shí)間戳。b)檢測是否保存了時(shí)間戳的以下信息：入庫時(shí)間、序列號(hào)、完整編碼。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.2時(shí)間戳的備份依據(jù)GB/T20520—2006中7.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的備份進(jìn)行說明。測評(píng)方法如下。a)檢測時(shí)間戳的備份是否使用異地備份的方式。b)檢測開發(fā)者是否采取嚴(yán)格的措施保護(hù)時(shí)間戳的備份介質(zhì)，防止備份介質(zhì)被盜、被毀和受損。c)檢測時(shí)間戳的備份數(shù)據(jù)是否以方便檢索的方式存放。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.3時(shí)間戳的檢索依據(jù)GB/T20520—2006中7.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的檢索進(jìn)行說明。測評(píng)方法如下。a)檢測TSA是否提供一個(gè)時(shí)間戳檢索的方式。b)檢測TSA是否提供現(xiàn)存以及備份的時(shí)間戳以供檢索。c)檢測TSA能否通過時(shí)間戳入庫的時(shí)間進(jìn)行檢索。d)檢測TSA能否通過時(shí)間戳的序列號(hào)進(jìn)行檢索。e)檢測TSA能否通過時(shí)間戳的完整編碼進(jìn)行檢索。f)檢測時(shí)間戳的檢索結(jié)果能否發(fā)送給用戶。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.4時(shí)間戳的刪除和銷毀依據(jù)GB/T20520—2006中7.4.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的刪除進(jìn)行說明。測評(píng)方法如下。a)以TSA管理員身份登錄系統(tǒng)，備份要?jiǎng)h除的時(shí)間戳，然后刪除此時(shí)間戳，檢測能否刪除成功。b)以非授權(quán)用戶身份登錄系統(tǒng)，嘗試刪除時(shí)間戳，檢測能否刪除成功。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中7.4.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的銷毀進(jìn)行說明。測評(píng)方法如下。a)在TSA證書失效前，嘗試銷毀所有時(shí)間戳，檢測能否銷毀成功。b)在TSA證書失效后，并且超過了規(guī)定的保存時(shí)間，以非授權(quán)用戶身份登錄系統(tǒng)，銷毀所有時(shí)間戳(包括備份),檢測能否銷毀成功。c)在TSA證書失效后，并且超過了規(guī)定的保存時(shí)間，以TSA管理員身份登錄系統(tǒng)，銷毀所有時(shí)間戳(包括備份),檢測能否銷毀成功。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.5時(shí)間戳的查看和驗(yàn)證依據(jù)GB/T20520—2006中7.5.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的查看進(jìn)行說明。測評(píng)方法為：通過TSA提供的查看時(shí)間戳的方法，檢測用戶能否查看時(shí)間戳中所有可查看的內(nèi)容。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中7.5.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的驗(yàn)證進(jìn)行說明。測評(píng)方法如下。a)通過CRL或OCSP協(xié)議，檢測用戶能否驗(yàn)證TSA證書的有效性。b)通過TSA提供的驗(yàn)證時(shí)間戳的方法，檢測用戶能否驗(yàn)證時(shí)間戳是由該TSA簽發(fā)。c)通過TSA提供的驗(yàn)證時(shí)間戳的方法，檢測用戶能否驗(yàn)證時(shí)間戳是指定文件的時(shí)間戳。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3時(shí)間戳的格式依據(jù)GB/T20520—2006中8.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)TSA系統(tǒng)進(jìn)行說明。測評(píng)方法如下。a)檢測所頒發(fā)的時(shí)間戳里，是否包含以下內(nèi)容：1)一個(gè)可信時(shí)間值；2)一個(gè)一次性隨機(jī)整數(shù)(nonce域),若此項(xiàng)不存在則為非檢測項(xiàng)；3)一個(gè)唯一的標(biāo)識(shí)符(表明了時(shí)間戳生成時(shí)的安全策略),若此項(xiàng)不存在則為非檢測項(xiàng)。b)檢測TSA能否檢查單向散列函數(shù)的標(biāo)識(shí)符，能否驗(yàn)證散列值長度的正確性。c)檢測是否只在散列值上蓋時(shí)間戳。d)檢測時(shí)間戳內(nèi)是否包含任何請(qǐng)求方的標(biāo)識(shí)，如果包含，則此項(xiàng)不符合。e)檢測TSA系統(tǒng)是否使用專門的密鑰對(duì)時(shí)間戳簽名，并檢測密鑰對(duì)應(yīng)證書中是否說明了該密鑰的這個(gè)用途。f)使請(qǐng)求方在申請(qǐng)消息的擴(kuò)展域內(nèi)提出一些額外的要求，如果TSA支持這些擴(kuò)展，檢測時(shí)間戳內(nèi)是否包含相應(yīng)的擴(kuò)展信息。g)使請(qǐng)求方在申請(qǐng)消息的擴(kuò)展域內(nèi)提出一些額外的要求，如果TSA不支持這些擴(kuò)展，檢測TSA是否返回一個(gè)出錯(cuò)信息。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)密鑰標(biāo)識(shí)進(jìn)行說明。測評(píng)方法為：檢測TSA系統(tǒng)的所有密鑰對(duì)應(yīng)的證書中，是否包含唯一的KeyUsage擴(kuò)展域，并檢測格式是否正確。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.3時(shí)間的表示格式依據(jù)GB/T20520—2006中8.3的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間的表示格式進(jìn)行說明。測評(píng)方法為：檢測時(shí)間戳的時(shí)間表示格式是否正確。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.4時(shí)間戳申請(qǐng)和響應(yīng)消息格式依據(jù)GB/T20520—2006中8.4.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)申請(qǐng)消息格式進(jìn)行說明。測評(píng)方法為：檢測時(shí)間戳的申請(qǐng)消息格式是否正確。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.4.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)響應(yīng)消息格式進(jìn)行說明。測評(píng)方法為：檢測時(shí)間戳的響應(yīng)消息格式是否正確。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.5的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳申請(qǐng)和響應(yīng)消息的文件保存格式進(jìn)行說明。測評(píng)方法如下。a)將時(shí)間戳申請(qǐng)消息保存為文件，檢測文件擴(kuò)展名是否為：tsg;使用二進(jìn)制查看工具查看文件是否只包含消息的DER編碼，并檢測編碼格式是否正確。b)將時(shí)間戳響應(yīng)消息保存為文件，檢測文件擴(kuò)展名是否為：tsr;使用二進(jìn)制查看工具查看文件是否只包含消息的DER編碼，并檢測編碼格式是否正確。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.6.1的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)電子郵件傳輸格式進(jìn)行說明。測評(píng)方法如下。a)如果使用電子郵件傳輸時(shí)間戳申請(qǐng)和響應(yīng)消息，則本項(xiàng)為檢測項(xiàng)目，否則為非檢測項(xiàng)。b)使用電子郵件進(jìn)行時(shí)間戳申請(qǐng)，并獲取時(shí)間截。c)使用協(xié)議分析儀截取整個(gè)時(shí)間戳申請(qǐng)和響應(yīng)的數(shù)據(jù)包，并進(jìn)行協(xié)議還原，檢測時(shí)間戳申請(qǐng)和響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.6.2的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)HTTP傳輸格式進(jìn)行說明。測評(píng)方法如下。a)如果使用HTTP協(xié)議傳輸時(shí)間戳申請(qǐng)和響應(yīng)消息，則本項(xiàng)為檢測項(xiàng)目，否則為非檢測項(xiàng)。b)使用HTTP協(xié)議進(jìn)行時(shí)間戳申請(qǐng)，并獲取時(shí)間戳。c)使用協(xié)議分析儀截取整個(gè)時(shí)間戳申請(qǐng)和響應(yīng)的數(shù)據(jù)包，并進(jìn)行協(xié)議還原，檢測時(shí)間戳申請(qǐng)和響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.7時(shí)間戳格式的安全考慮依據(jù)GB/T20520—2006中8.7的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳格式的安全考慮進(jìn)行說明。測評(píng)方法如下。a)如果請(qǐng)求方產(chǎn)生nonce值，檢測請(qǐng)求方是否使用一次性隨機(jī)數(shù)；如果請(qǐng)求方采取其他措施防范重放攻擊，檢測該措施是否有效。b)檢測請(qǐng)求方是否不采用局部時(shí)鐘來考慮等待響應(yīng)的時(shí)間。c)分別以不同實(shí)體身份用同樣的數(shù)據(jù)和同樣的散列算法申請(qǐng)時(shí)間戳，檢測TSA系統(tǒng)的處理措施是否正確。d)以同一實(shí)體身份對(duì)同一對(duì)象多次申請(qǐng)時(shí)間戳，檢測TSA系統(tǒng)和客戶端的處理措施是否正確。e)檢測TSA系統(tǒng)是否采用nonce域申請(qǐng)消息，以檢查重放攻擊。f)檢測TSA系統(tǒng)是否采用局部時(shí)鐘和移動(dòng)的時(shí)間窗口，以檢查重放攻擊；如果請(qǐng)求方采取其他措施防范重放攻擊，檢測該措施是否有效。記錄測評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.4時(shí)間戳系統(tǒng)的安全依據(jù)GB/T20520—2006中的內(nèi)容進(jìn)行測評(píng)。開發(fā)者應(yīng)提供文檔，針對(duì)審計(jì)事件進(jìn)行說明。測評(píng)方法如下。a)檢測TSA的簽名系統(tǒng)是否對(duì)以下事件產(chǎn)生審計(jì)記錄：1)審計(jì)功能的啟動(dòng)和結(jié)束；2)表1中的事件。表1審計(jì)事件TSA功能事件附加信息安全審計(jì)所有對(duì)審計(jì)變量(如：時(shí)間間隔，審計(jì)事件的類型)的改變所有刪除審計(jì)記錄的企圖對(duì)審計(jì)日志簽名數(shù)字簽名，散列結(jié)果或鑒別碼應(yīng)該保存在審計(jì)日志之中本地?cái)?shù)據(jù)輸入所有的安全相關(guān)數(shù)據(jù)輸入系統(tǒng)若輸入的數(shù)據(jù)與其他數(shù)據(jù)相關(guān)則須驗(yàn)證用戶訪問相關(guān)數(shù)據(jù)的權(quán)限遠(yuǎn)程數(shù)據(jù)輸入所