GB/T 30272—2013 信息安全技術 公鑰基礎設施 標準一致性測試評價指南4.2 證書管理協議測試評價指南
1.1.1 必需的PKI管理功能
1.1.1.1 根CA初始化
評價內容:
見GB/T 19714-2005中8.1的內容。
對開發者的要求:
開發者應提供文檔,針對根CA初始化的過程進行說明。
測試評價指南:
a) 根據開發者文檔,產生一對根CA的密鑰對,并將密鑰對分散保存,檢測根密鑰的保存方式是否安全;
b) 選擇此密鑰對進行根CA初始化,用產生的私鑰為公鑰簽發證書,產生自己的自簽名證書,檢測這個證書的結構是否和“newWithNew”證書結構相同;
c) 為CA的公鑰產生一個指紋,并檢測傳遞指紋的數據結構是否為OOBCertHash。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.2 根CA密鑰更新
評價內容:
見GB/T 19714-2005中8.2的內容。
對開發者的要求:
開發者應提供文檔,針對根CA密鑰更新的過程進行說明。
測試評價指南:
a) 在CA的生命周期到期前,模擬一次根CA密鑰更新的過程;
b) 產生新的根CA的密鑰對;
c) 產生一個用新私鑰為舊公鑰簽名的證書(“old with new”證書);
d) 產生一個用舊私鑰為新公鑰簽名的證書(“new with old”證書);
e) 產生一個用新私鑰為新公鑰簽名的證書(“new with new”證書);
f) 發布這些新證書;
g) 導出CA的新公鑰;
h) 使用CA的新密鑰為一個終端實體簽發一個新證書;
i) 利用CA舊公鑰的終端實體,驗證上述新證書,檢測驗證者是否進行以下操作:在數據庫中查找caCertificate屬性,獲得NewWithOld證書,并利用CA舊密鑰驗證該NewWithOld證書是否正確,如果正確,利用CA新密鑰驗證新證書;
j) 利用CA新公鑰的終端實體,驗證CA舊密鑰簽發的舊證書,檢測驗證者是否進行以下操作:在數據庫中查找caCertificate屬性,獲得OldWithNew證書,并利用CA新密鑰驗證該OldWithNew證書是否正確,如果正確,利用CA舊密鑰驗證舊證書。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.3 下級CA初始化
評價內容:
見GB/T 19714-2005中8.3的內容。
對開發者的要求:
開發者應提供文檔,針對下級CA初始化的過程進行說明。
測試評價指南:
a) 在下級CA初始化之前,檢測下級CA能否獲得以下PKI信息:
1) 當前根CA的公鑰,并使用哈希值對根CA公鑰進行帶外驗證;
2) 撤銷列表以及撤銷列表的認證路徑;
3) 所支持的每一種相關應用的算法和算法變量;
b) 模擬一次下級CA初始化的過程:產生下級CA密鑰,利用根證書產生下級CA的簽名證書;
c) 產生初始的撤銷列表。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.4 CRL產生
評價內容:
見GB/T 19714-2005中8.4的內容。
對開發者的要求:
開發者應提供文檔,針對CRL產生的過程進行說明。
測試評價指南:
a) 在發布證書之前,在新建立CA中產生空的CRL列表;
b) 檢測能否操作成功。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.5 PKI信息請求
評價內容:
見GB/T 19714-2005中8.5的內容。
對開發者的要求:
開發者應提供文檔,針對PKI信息請求進行說明。
測試評價指南:
a) 評價者模擬各種PKI信息請求,檢測CA是否能夠向請求者提供至少請求者要求的所有請求信息,如果某些信息不能提供,CA是否給請求者返回錯誤信息;
b) 檢測文檔是否和標準的規定一致。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.6 交叉認證
評價內容:
見GB/T 19714-2005中8.6的內容。
對開發者的要求:
開發者應提供文檔,針對交叉認證過程進行說明。
測試評價指南:
評價者模擬一次交叉認證過程:
a) 新建三個CA系統,分別命名為A、B、C;
b) 分別使用三個CA系統,簽發三個證書,分別命名為:a、b、c;
c) 以CA系統A為請求者,CA系統B為響應者,進行交叉認證操作,檢測操作過程和消息結構是否符合標準要求;
d) 在擁有證書b的終端實體上,使用交叉認證證書驗證證書a,應能驗證成功;
e) 在擁有證書b的終端實體上,驗證證書c,驗證應不成功;
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果系統提供交叉認證功能,以上結果全部正確,則本項滿足;如果系統不提供交叉認證功能,在此項不作為最終結果的判斷依據。
1.1.1.7 終端實體初始化
1.1.1.7.1 獲得PKI信息
評價內容:
見GB/T 19714-2005中8.7.1的內容。
對開發者的要求:
開發者應提供文檔,針對終端實體初始化過程中的“獲得PKI信息”這一步驟進行說明。
測試評價指南:
在終端實體初始化之前,檢測能否獲得以下PKI信息:
a) 當前根CA的公鑰;
b) 撤銷列表以及撤銷列表的認證路徑;
c) 所支持的每一種相關應用的算法和算法變量;
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.7.2 根CA密鑰的帶外驗證
評價內容:
見GB/T 19714-2005中8.7.2的內容。
對開發者的要求:
開發者應提供文檔,針對終端實體初始化過程中的“根CA密鑰的帶外驗證”這一步驟進行說明。
測試評價指南:
檢測系統是否能夠通過一些安全的“帶外”方法給終端實體提供CA的證書指紋。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.8 證書請求
評價內容:
見GB/T 19714-2005中8.8的內容。
對開發者的要求:
開發者應提供文檔,針對證書模板和證書請求進行說明。
測試評價指南:
檢測經過初始化的終端實體是否能夠請求一個額外的證書:
a) 對每一種證書模板,選擇一個經過初始化的終端實體,提出證書請求;
b) 檢測這個請求是否使用認證請求(cr)消息;
c) 檢測能否返回新的證書;
d) 選擇一個已經擁有一對簽名密鑰(帶有相應的驗證證書)的終端實體,提出證書請求;
e) 檢測請求(cr)消息是否使用此實體的數字簽名來保護;
f) 檢測能否返回新的證書;
g) 檢查文檔是否和標準的規定一致。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.1.9 密鑰更新
評價內容:
見GB/T 19714-2005中8.9的內容。
對開發者的要求:
開發者應提供文檔,針對密鑰更新進行說明。
測試評價指南:
a) 在終端實體的證書將要過期前,評價者模擬密鑰更新的過程;
b) 檢查文檔是否和標準的規定一致。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.2 傳輸
評價內容:
見GB/T 19714-2005中9的內容。
對開發者的要求:
開發者應提供文檔,說明在EE、RAs、CAs之間傳輸PKI消息的傳輸協議和消息格式。
測試評價指南:
a) 如果PKI消息通過文件傳輸,檢測PKI消息的格式是否符合標準要求;
b) 如果PKI消息通過TCP管理協議傳輸,檢測PKI消息的格式是否符合標準要求;
c) 如果PKI消息通過E-mail方式傳輸,檢測PKI消息的格式是否符合標準要求;
d) 如果PKI消息通過HTTP方式傳輸,檢測PKI消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果系統支持的每種傳輸方式的消息格式和傳輸協議均符合標準要求,則本項滿足。
1.1.3 必選的PKI管理消息結構
1.1.3.1 初始的注冊/認證(基本認證方案)
評價內容:
見GB/T 19714-2005中B.4的內容。
對開發者的要求:
開發者應提供文檔,說明初始的注冊/認證的消息格式。
測試評價指南:
通過未初始化的終端實體向CA請求第一個證書,根據開發者所提供的文檔,檢測終端實體和PKI之間的通信消息是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.3.2 證書請求
評價內容:
見GB/T 19714-2005中B.5的內容。
對開發者的要求:
開發者應提供文檔,說明證書請求的消息格式。
測試評價指南:
通過已經初始化的終端實體向CA請求證書,根據開發者所提供的文檔,檢測終端實體和PKI之間的通信消息是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
1.1.3.3 密鑰更新請求
評價內容:
見GB/T 19714-2005中B.6的內容。
對開發者的要求:
開發者應提供文檔,說明密鑰更新請求的消息格式。
測試評價指南:
在密鑰即將過期前,通過已經初始化的終端實體向CA請求證書(用于更新密鑰對和/或已經擁有的相應證書),根據開發者所提供的文檔,檢測終端實體和PKI之間的通信消息是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。
如果以上結果全部正確,則本項滿足。
推薦文章: