声明
本文是学习信息安全技术 公钥基础设施 标准符合性测评. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
公钥基础设施 组件最小互操作规范测评
组件规范
证书认证机构(CA)
颁发数字签名证书
测评依据见GB/T 19771—2005中5.2.2 a)的内容。
开发者应提供文档,针对数字签名证书的颁发进行说明。
测评方法如下。
- 对每一种证书模板,通过授权RA产生多个签名数字证书请求,并发送给CA,检测CA能否生成新证书并将其放在资料库中;
- 通过非授权RA产生一个签名数字证书请求,并发送给CA,检测CA能否拒绝该证书申请,能否向RA报告失败并说明原因;
- 通过授权RA产生一个包含不匹配信息的签名数字证书请求,并发送给CA,检测CA能否拒绝该证书申请,能否向RA报告失败并说明原因;
- 对每一种证书模板,产生多个自我注册的证书请求,并发送给CA,检测CA是否验证请求者的身份并验证申请者的相应私钥,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果验证失败,检测CA能否拒绝该证书申请,能否向申请者报告失败并说明原因;
- 对每一种证书模板,产生多个更新的证书请求,并发送给CA,检测CA是否验证请求者的身份,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果签名无效或者CA策略不允许更新,检测CA能否拒绝该证书更新请求,并向申请者报告失败并说明原因;
- 以非法的请求者产生一个更新的证书请求,检测CA能否拒绝该证书更新请求,能否向申请者报告失败并说明原因。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
颁发加密证书
测评依据见GB/T 19771—2005中5.2.2 b)的内容。
开发者应提供文档,针对加密证书的颁发进行说明。
测评方法如下。
- 由第三方集中产生加密密钥对,并通过带外方式提供给CA;
- 由证书持有者生成一个加密证书请求,说明自己想要的加密算法,并对该请求进行数字签名,将该请求发送给CA;
- 检测CA能否验证请求者身份,并颁发加密证书和加密私钥给请求者。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
交叉认证
测评依据见GB/T 19771—2005中5.2.2 c)的内容。
开发者应提供文档,针对CA间的交叉认证进行说明。
测评方法如下。
- 在两个交叉认证的CA之间交换CA的公钥,分别根据对方的公钥生成证书,并将其存放到资料库中;
- 检测双方之间的证书能否交叉认证。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能,以上结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据。
撤销证书
测评依据见GB/T 19771—2005中5.2.2 d)的内容。
开发者应提供文档,针对证书的撤销进行说明。
测评方法如下。
- 以多个证书持有者身份请求撤销证书,并将请求发送给CA,检测CA是否验证请求者身份,验证成功后能否将证书放入CRL中;
- 产生新的全量CRL,检测老CRL中的全部信息是否放到新CRL中;
- 产生新的增量CRL,检测新增的撤销证书信息是否放到新CRL中;
- 通过RA向CA发送多个证书撤销请求,检测CA是否验证请求者身份,验证成功后能否将证书放入CRL中。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
请求CA证书
测评依据见GB/T 19771—2005中5.2.2 f)的内容。
开发者应提供文档,针对向上一级CA申请证书进行说明。
测评方法如下。
- 通过CA向上一级的CA申请证书,检测能否申请成功。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
注册机构(RA)
测评依据见GB/T 19771—2005中5.3的内容。
开发者应提供文档,针对RA的操作规范进行说明。
测评方法如下。
- 针对每一种证书模板,向RA提交多个CertReq格式的证书请求;
- 检测RA是否审查请求者的身份;
- 检测RA是否确认请求者拥有相应的完整的密钥对;
- 验证通过后,检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息;
- 检测RA能否将新的CertReq消息发送给CA;
- 如果证书请求被接受,检测RA能否接收CA颁发的新证书,并将新证书发送给请求者;
- 如果证书请求被拒绝,检测RA能否审查从CA发来的错误代码并向证书请求者返回证书拒绝的响应消息;
- 向RA提交多个证书撤销请求,检测RA是否验证请求者身份,并产生新的RevReq消息;
- 检测RA能否将新的RevReq消息发送给CA;
- 如果证书撤销请求被接受,检测RA能否接收CA回应的RevReq消息,能否将此信息提交给请求者;
- 如果证书撤销请求被拒绝,检测RA能否审查错误代码,并再次产生撤销请求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
证书持有者规范
测评依据见GB/T 19771—2005中5.4的内容。
开发者应提供文档,针对证书持有者规范进行说明。
测评方法如下。
- 以多个用户身份申请签名证书,检测能否成功申请并且获取证书;
- 以多个用户身份申请加密证书,检测能否成功申请并且获取证书;
- 以多个证书持有者身份,申请撤销签名证书,检测能否成功撤销证书;
- 以多个证书持有者身份,申请更新签名证书,检测能否成功更新证书。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
客户规范
测评依据见GB/T 19771—2005中5.5的内容。
开发者应提供文档,针对客户规范进行说明。
测评方法如下。
- 验证客户能否验证签名;
- 验证客户能否从查询服务器检索证书和CRLs;
- 验证客户能否验证证书认证路径。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
数据格式
证书撤销列表
测评依据见GB/T 19771—2005中6.3的内容。
开发者应提供文档,针对证书撤销列表的格式进行说明。
测评方法如下。
- 由CA颁发证书撤销列表;
- 下载证书撤销列表,检测证书撤销列表的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
事务消息格式
全体PKI消息组件
测评依据见GB/T 19771—2005中6.5.2的内容。
开发者应提供文档,针对PKI消息的格式进行说明。
测评方法如下。
- 根据开发者提供的文档,检测PKI消息(包括:header、body、protection、extraCerts字段)的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
通用数据结构
测评依据见GB/T 19771—2005中6.5.3的内容。
开发者应提供文档,针对证书模板、签名私钥的拥有证明、证书请求消息、协议加密密钥控制、PKI消息状态码、失败信息、确认协议、证书识别、Centrally Generated Keys和带外信息的格式进行说明。
测评方法如下。
- 根据开发者提供的文档,检测证书模板的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测签名私钥的拥有证明消息格式是否符合标准要求;
- 根据开发者提供的文档,检测证书请求的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测协议加密密钥控制的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测PKI消息状态码的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测失败信息的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测确认协议的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测证书识别的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测Centrally Generated Keys的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测带外信息的消息格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
特殊操作的数据结构
测评依据见GB/T 19771—2005中6.5.4的内容。
开发者应提供文档,针对注册/证书请求、注册/证书响应、撤销请求的内容、撤销响应内容、PKCS#10证书请求的消息格式进行说明。
测评方法如下。
- 根据开发者提供的文档,检测注册/证书请求的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测注册/证书响应的拥有证明消息格式是否符合标准要求;
- 根据开发者提供的文档,检测撤销请求的内容的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测撤销响应内容的消息格式是否符合标准要求;
- 根据开发者提供的文档,检测PKCS#10证书请求的消息格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
PKI事务
RA发起的注册请求
测评依据见GB/T 19771—2005中6.6.2的内容。
如果产品支持远端RA,则开发者应提供文档,针对RA发起的注册请求进行说明。
测评方法如下。
- 根据开发者提供的文档,对每一种证书模板,在RA上向CA请求多个终端实体的证书;
- 检测从RA到CA的证书请求消息的格式是否符合标准要求;
- 检测从CA到RA的证书回应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
新实体的自我注册请求
测评依据见GB/T 19771—2005中6.6.3的内容。
如果CA接受自我注册请求,则开发者应提供文档,针对新实体的自我注册请求进行说明。
测评方法如下。
- 根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的证书;
- 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求;
- 检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
已知实体的自我注册请求
测评依据见GB/T 19771—2005中6.6.4的内容。
如果CA接受自我注册请求,则开发者应提供文档,针对已知实体的自我注册请求进行说明。
测评方法如下。
- 根据开发者提供的文档,对每一种证书模板,以多个已知实体身份直接向CA申请新的证书;
- 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求;
- 检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
证书更新
测评依据见GB/T 19771—2005中6.6.5的内容。
如果CA的CPS支持证书更新,则开发者应提供文档,针对证书的更新进行说明。
测评方法如下。
- 根据开发者提供的文档,对每一种证书模板,以多个拥有当前有效证书的实体身份直接向CA申请新的证书;
- 检测从证书持有者到CA的证书更新申请消息的格式是否符合标准要求;
- 检测从CA到证书持有者的证书更新响应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
PKCS#10自我注册请求
测评依据见GB/T 19771—2005中6.6.6的内容。
如果CA接受自我注册请求,则开发者应提供文档,针对PKCS#10自我注册请求进行说明。
测评方法如下。
- 根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的PKCS#10证书;
- 检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求;
- 检测从CA到证书请求者的PKCS证书请求响应消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
撤销请求
测评依据见GB/T 19771—2005中6.6.7的内容。
开发者应提供文档,针对撤销请求进行说明。
测评方法如下。
- 根据开发者提供的文档,以多个拥有当前有效证书的实体身份直接申请撤销自己的证书;
- 检测从证书持有者到RA的撤销请求消息的格式是否符合标准要求;
- 检测从RA到CA的撤销请求消息的格式是否符合标准要求;
- 检测从CA到RA的撤销响应消息的格式是否符合标准要求;
- 检测从RA到证书持有者的撤销响应消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
集中产生密钥对和密钥管理证书申请
测评依据见GB/T 19771—2005中6.6.8的内容。
开发者应提供文档,针对集中产生密钥对和密钥管理证书申请进行说明。
测评方法如下。
- 根据开发者提供的文档,以多个拥有当前有效证书的实体身份向CA申请产生加密密钥并签发证书;
- 检测集中产生密钥对申请消息的格式是否符合标准要求;
- 检测集中产生密钥对回应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
组合证书申请
测评依据见GB/T 19771—2005中6.6.9的内容。
如果CA支持组合证书,则开发者应提供文档,针对组合证书申请进行说明。
测评方法如下。
- 根据开发者提供的文档,以多个新实体身份向CA申请组合证书:一个签名密钥证书和加密证书;
- 检测组合证书申请消息的格式是否符合标准要求;
- 检测组合证书回应消息的格式是否符合标准要求;
- 检测确认消息的格式是否符合标准要求。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
延伸阅读
更多内容 可以 信息安全技术 公钥基础设施 标准符合性测评. 进一步学习