(高清版)GBT 30272-2021 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 標(biāo)準(zhǔn)符合性測(cè)評(píng)

代替GB/T30272—2013信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測(cè)評(píng)Testingandassessmentofc2021-10-11發(fā)布2022-05-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I前言 2規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 5在線證書(shū)狀態(tài)協(xié)議測(cè)評(píng) 25.1總則 25.2安全考慮 46證書(shū)管理協(xié)議測(cè)評(píng) 46.1必需的PKI管理功能 46.2傳輸 76.3必選的PKI管理消息結(jié)構(gòu) 7組件最小互操作規(guī)范測(cè)評(píng) 87.1組件規(guī)范 87.2數(shù)據(jù)格式 8數(shù)字證書(shū)格式測(cè)評(píng) 8.1基本證書(shū)域的數(shù)據(jù)結(jié)構(gòu) 8.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu) 8.3證書(shū)擴(kuò)展項(xiàng) 9時(shí)間戳規(guī)范測(cè)評(píng) 9.1時(shí)間戳的產(chǎn)生和頒發(fā) 9.2時(shí)間戳的管理 9.3時(shí)間戳的格式 9.4時(shí)間戳系統(tǒng)的安全 10電子簽名格式測(cè)評(píng) 10.1基本數(shù)據(jù)格式 10.2驗(yàn)證數(shù)據(jù)格式 10.3簽名策略要求 11基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)測(cè)評(píng) 11.1電子簽名相關(guān)數(shù)據(jù)的要求 11.2簽名生成模塊的要求 11.3電子簽名生成過(guò)程與應(yīng)用程序要求 ⅡGB/T30272—202111.4電子簽名驗(yàn)證過(guò)程與應(yīng)用程序要求 12綜合評(píng)價(jià) 附錄A(資料性)測(cè)試項(xiàng)目總表 附錄B(資料性)公鑰基礎(chǔ)設(shè)施測(cè)試環(huán)境示例 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T30272—2013《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)一致性測(cè)試評(píng)價(jià)指南》,與GB/T30272—2013相比，除編輯性改動(dòng)外，主要技術(shù)變化如下：——?jiǎng)h除了“特定權(quán)限管理中心技術(shù)規(guī)范測(cè)評(píng)”(見(jiàn)2013年版的4.5);——更改了“數(shù)字證書(shū)格式測(cè)評(píng)”中的相關(guān)內(nèi)容(見(jiàn)第8章，2013年版的4.4);——增加了“電子簽名格式測(cè)評(píng)”(見(jiàn)第10章);——增加了“基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)測(cè)評(píng)”(見(jiàn)第11章)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：上海辰銳信息科技公司、公安部第三研究所、中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、格爾軟件股份有限公司、中國(guó)電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心)。本文件及其所代替文件的歷次版本發(fā)布情況為：——2013年首次發(fā)布為GB/T30272—2013;——本次為第一次修訂。本文件用于指導(dǎo)測(cè)試評(píng)價(jià)者測(cè)試與評(píng)價(jià)公鑰基礎(chǔ)設(shè)施是否達(dá)到國(guó)家標(biāo)準(zhǔn)要求。本文件依據(jù)國(guó)家已頒布、實(shí)施的7個(gè)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，即：——GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議——GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議——GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范——GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式——GB/T20520—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范——GB/T25064—2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范——GB/T35285—2017信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求這7個(gè)標(biāo)準(zhǔn)對(duì)相應(yīng)評(píng)價(jià)測(cè)試方法做了詳細(xì)描述。1信息安全技術(shù)公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)符合性測(cè)評(píng)本文件描述了公鑰基礎(chǔ)設(shè)施相關(guān)組件的測(cè)試評(píng)價(jià)方法，包括CA、RA、時(shí)間戳子系統(tǒng)、在線證書(shū)狀態(tài)查詢子系統(tǒng)、電子簽名及驗(yàn)證子系統(tǒng)、客戶端等組件。本文件適用于按照國(guó)家標(biāo)準(zhǔn)GB/T19713—2005、GB/T19714—2005、GB/T19771—2005、GB/T20518—2018、GB/T20520-2006、GB/T25064-2010、GB/T35285-2017進(jìn)行研制開(kāi)發(fā)的產(chǎn)品類公鑰基礎(chǔ)設(shè)施相關(guān)組件的測(cè)試和評(píng)價(jià)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式GB/T20520—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范GB/T25064—2010信息安全技術(shù)公鑰基礎(chǔ)設(shè)施電子簽名格式規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T35275—2017信息安全技術(shù)SM2密碼算法加密簽名消息語(yǔ)法規(guī)范GB/T35285—2017信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書(shū)的可靠電子簽名生成及驗(yàn)證技術(shù)要求3術(shù)語(yǔ)和定義GB/T19713—2005、GB/T19714-2005、GB/T19771-2005、GB/T20518-2018、GB/T20520-2006、GB/T25064—2010、GB/T35285—2017、GB/T25069—2010界定的術(shù)語(yǔ)和定義適用于本文件。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BES基本電子簽名(BasisElectronicSignature)CA認(rèn)證機(jī)構(gòu)(CertificationAuthority)CPS認(rèn)證慣例陳述(CertificationPracticeStatement)CRL證書(shū)撤銷列表(CertificateRevocationList)2ES電子簽名(ElectronicSignature)ESS增強(qiáng)安全服務(wù)(EnhancedSecurityServices)MIME多用途網(wǎng)絡(luò)郵件擴(kuò)充協(xié)議(MultipurposeInternetMailExtension)OCSP在線證書(shū)狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)OID對(duì)象標(biāo)識(shí)符(ObjectID)PIN個(gè)人身份識(shí)別碼(PersonalIdentificationNumber)PKCS公鑰密碼標(biāo)準(zhǔn)(Public-KeyCryptographyStandards)PKI公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)RA注冊(cè)機(jī)構(gòu)(RegistrationAuthority)TSA時(shí)間戳機(jī)構(gòu)(TimeStampAuthority)5在線證書(shū)狀態(tài)協(xié)議測(cè)評(píng)5.1總則依據(jù)GB/T19713—2005中5.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書(shū)狀態(tài)協(xié)議進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)由OCSP請(qǐng)求者發(fā)送多個(gè)不同狀態(tài)證書(shū)的狀態(tài)請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否提供了正確的證書(shū)狀態(tài)響應(yīng)。b)檢測(cè)OCSP請(qǐng)求是否包含以下數(shù)據(jù)：協(xié)議版本、服務(wù)請(qǐng)求、目標(biāo)證書(shū)標(biāo)識(shí)符、其他擴(kuò)展數(shù)據(jù)(如OCSP請(qǐng)求者的簽名、隨機(jī)數(shù)等)。c)使用工具發(fā)送不正確報(bào)文格式的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。d)使用工具發(fā)送響應(yīng)器沒(méi)有配置所要求服務(wù)的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。e)使用工具發(fā)送不完整信息的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出錯(cuò)誤信息。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)響應(yīng)簽名的密鑰、響應(yīng)消息格式、響應(yīng)消息內(nèi)容等進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)模擬各種身份的OCSP請(qǐng)求者，發(fā)送多個(gè)不同狀態(tài)證書(shū)的狀態(tài)請(qǐng)求，OCSP響應(yīng)請(qǐng)求，檢測(cè)此過(guò)程中是否對(duì)所有明確的響應(yīng)報(bào)文都進(jìn)行數(shù)字簽名。b)檢測(cè)響應(yīng)簽名的密鑰是否為下列三種情況之一：1)簽發(fā)待查詢證書(shū)的CA公鑰；2)可信賴的響應(yīng)器的公鑰；3)CA指定的響應(yīng)器公鑰。c)由OCSP請(qǐng)求者發(fā)送多個(gè)不同狀態(tài)證書(shū)的狀態(tài)請(qǐng)求，檢測(cè)OCSP響應(yīng)器的響應(yīng)消息中是否包含以下內(nèi)容：1)響應(yīng)語(yǔ)法的版本；32)響應(yīng)器的名稱；3)對(duì)請(qǐng)求中每個(gè)證書(shū)的響應(yīng)；4)可選的擴(kuò)展；5)簽名算法的OID;6)響應(yīng)的雜湊值簽名。d)檢測(cè)對(duì)請(qǐng)求中每個(gè)證書(shū)的響應(yīng)，是否包含以下內(nèi)容：1)目標(biāo)證書(shū)標(biāo)識(shí)符；2)證書(shū)狀態(tài)值；3)響應(yīng)的有效期限；4)可選的擴(kuò)展。e)檢測(cè)OCSP響應(yīng)消息中，證書(shū)狀態(tài)值是否為以下三種響應(yīng)標(biāo)識(shí)符之一，并檢測(cè)證書(shū)狀態(tài)是否與實(shí)際一致：1)Good,表示對(duì)狀態(tài)查詢的肯定響應(yīng)；2)Revoked(已撤銷),表示證書(shū)已被撤銷；3)Unknown(未知),表示響應(yīng)器不能鑒別待驗(yàn)證狀態(tài)的證書(shū)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。如果不包含可選的擴(kuò)展，并且其他結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)OCSP響應(yīng)器返回的錯(cuò)誤消息進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)使用工具發(fā)送一個(gè)沒(méi)有遵循OCSP語(yǔ)法的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。b)使響應(yīng)器處于非協(xié)調(diào)的工作狀態(tài)，發(fā)送一個(gè)正常請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。c)使響應(yīng)器處于不能返回所請(qǐng)求證書(shū)的狀態(tài)，發(fā)送一個(gè)證書(shū)請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。d)使用工具發(fā)送一個(gè)沒(méi)有簽名的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。e)使用工具發(fā)送一個(gè)未授權(quán)的請(qǐng)求，檢測(cè)OCSP響應(yīng)器是否發(fā)出相應(yīng)的錯(cuò)誤信息。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)thisUpdate、nextUpdate和producedAt的語(yǔ)義進(jìn)行說(shuō)明。測(cè)評(píng)方法為：發(fā)送多個(gè)證書(shū)請(qǐng)求，檢測(cè)OCSP響應(yīng)消息是否包含以下時(shí)間字段：a)thisUpdate:此次更新時(shí)間；b)nextUpdate(可選字段):下次更新時(shí)間；若沒(méi)有設(shè)置此字段，需指明隨時(shí)可以獲得更新的撤銷信息；4記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。如果不包含可選字段nextUpdate,并且指明了隨時(shí)可以獲得更新的撤銷信息，其他結(jié)果全部符依據(jù)GB/T19713—2005中5.7的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書(shū)狀態(tài)協(xié)議中OCSP簽名機(jī)構(gòu)的委托過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果簽署證書(shū)狀態(tài)信息的密鑰與簽署證書(shū)的密鑰不同，由CA向響應(yīng)器簽發(fā)一個(gè)含有extend-edKeyUsage唯一值的證書(shū)。b)發(fā)送一個(gè)證書(shū)狀態(tài)查詢請(qǐng)求，檢測(cè)響應(yīng)器能否用上述證書(shū)對(duì)證書(shū)狀態(tài)信息進(jìn)行簽名。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19713—2005中5.8的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)CA密鑰泄露時(shí)OCSP響應(yīng)器的設(shè)置進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在OCSP響應(yīng)器中，將某一個(gè)CA的狀態(tài)設(shè)置為私鑰泄露。b)發(fā)送一個(gè)上述CA簽發(fā)的證書(shū)狀態(tài)查詢請(qǐng)求，檢測(cè)OCSP響應(yīng)器能否返回上述CA簽發(fā)的所有證書(shū)已撤銷的狀態(tài)信息。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。5.2安全考慮依據(jù)GB/T19713—2005中第8章的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，對(duì)所使用的在線證書(shū)狀態(tài)協(xié)議進(jìn)行脆弱性分析。測(cè)評(píng)方法為：查看開(kāi)發(fā)者提供的脆弱性分析報(bào)告，檢測(cè)OCSP系統(tǒng)能否抵御標(biāo)準(zhǔn)中的相關(guān)攻擊(至少應(yīng)該包括拒絕服務(wù)攻擊和重放攻擊)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6證書(shū)管理協(xié)議測(cè)評(píng)6.1必需的PKI管理功能依據(jù)GB/T19714—2005中8.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)根CA初始化的過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者文檔，產(chǎn)生一對(duì)根CA的密鑰對(duì)，并將密鑰對(duì)中的私鑰進(jìn)行保存，檢測(cè)根密鑰的保存方式是否安全(例如：保存在加密機(jī)或加密卡中，并受口令保護(hù))。5b)選擇根CA的密鑰對(duì)進(jìn)行根CA初始化，用產(chǎn)生的私鑰為公鑰簽發(fā)證書(shū)，產(chǎn)生自簽名證書(shū)，檢測(cè)這個(gè)證書(shū)的結(jié)構(gòu)是否和“newWithNew”證書(shū)結(jié)構(gòu)相同。c)為CA的公鑰產(chǎn)生一個(gè)指紋，并檢測(cè)傳遞指紋的數(shù)據(jù)結(jié)構(gòu)是否為OOBCertHash。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)根CA密鑰更新的過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在CA的生命周期到期前，模擬一次根CA密鑰更新的過(guò)程。b)產(chǎn)生新的根CA的密鑰對(duì)。c)產(chǎn)生一個(gè)用新私鑰為舊公鑰簽名的證書(shū)(“OldWithNew”證書(shū))。d)產(chǎn)生一個(gè)用舊私鑰為新公鑰簽名的證書(shū)(“NewWithOld”證書(shū))。e)產(chǎn)生一個(gè)用新私鑰為新公鑰簽名的證書(shū)(“NewWithNew”證書(shū))。f)發(fā)布這些新證書(shū)。h)使用CA的新密鑰為一個(gè)終端實(shí)體簽發(fā)一個(gè)新證書(shū)。i)利用CA舊公鑰的終端實(shí)體，獲得NewWithOld證書(shū)，并驗(yàn)證上述新證書(shū)。j)利用CA新公鑰的終端實(shí)體，獲得OldWithNew證書(shū)，并驗(yàn)證CA舊密鑰簽發(fā)的舊證書(shū)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6.1.3下級(jí)CA初始化依據(jù)GB/T19714—2005中8.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)下級(jí)CA初始化的過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在下級(jí)CA初始化之前，檢測(cè)下級(jí)CA能否獲得以下PKI信息：1)當(dāng)前根CA的公鑰，并使用雜湊值對(duì)根CA公鑰進(jìn)行帶外驗(yàn)證；2)撤銷列表以及撤銷列表的認(rèn)證路徑；3)所支持的每一種相關(guān)應(yīng)用的算法和算法變量。b)模擬一次下級(jí)CA初始化的過(guò)程：產(chǎn)生下級(jí)CA密鑰，利用根證書(shū)產(chǎn)生下級(jí)CA的簽名證書(shū)。c)產(chǎn)生初始的撤銷列表。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)CRL產(chǎn)生的過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在發(fā)布證書(shū)之前，在新建立CA中產(chǎn)生空的CRL列表。6b)檢測(cè)能否操作成功。c)撤銷一張證書(shū)，檢測(cè)CRL是否可以正常更新。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)PKI信息請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)評(píng)價(jià)者模擬各種PKI信息請(qǐng)求，檢測(cè)CA是否能夠提供請(qǐng)求者要求的所有請(qǐng)求信息，如果某些信息不能提供，CA是否給請(qǐng)求者返回錯(cuò)誤信息。b)檢測(cè)文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.6的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)交叉認(rèn)證過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)評(píng)價(jià)者模擬一次交叉認(rèn)證過(guò)程。b)新建三個(gè)獨(dú)立的CA系統(tǒng)，分別命名為A、B、C。d)以CA系統(tǒng)A為請(qǐng)求者，CA系統(tǒng)B為響應(yīng)者，進(jìn)行交叉認(rèn)證操作，檢測(cè)操作過(guò)程和消息結(jié)構(gòu)是否符合標(biāo)準(zhǔn)要求。e)在擁有證書(shū)b的終端實(shí)體上，使用交叉認(rèn)證證書(shū)驗(yàn)證證書(shū)a,應(yīng)能驗(yàn)證成功。f)在擁有證書(shū)b的終端實(shí)體上，驗(yàn)證證書(shū)c,驗(yàn)證應(yīng)不成功。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)提供交叉認(rèn)證功能，以上結(jié)果全部正確，則本項(xiàng)滿足；如果系統(tǒng)不提供交叉認(rèn)證功能，則此項(xiàng)不作為最終結(jié)果的判斷依據(jù)。6.1.7終端實(shí)體初始化依據(jù)GB/T19714—2005中8.7.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)終端實(shí)體初始化過(guò)程中的“獲得PKI信息”這一步驟進(jìn)行說(shuō)明。測(cè)評(píng)方法為：在終端實(shí)體初始化之前，檢測(cè)能否獲得以下PKI信息：a)當(dāng)前根CA的公鑰；b)撤銷列表以及撤銷列表的認(rèn)證路徑；c)所支持的每一種相關(guān)應(yīng)用的算法和算法參數(shù)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.8的內(nèi)容進(jìn)行測(cè)評(píng)。7開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)模板和證書(shū)請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)對(duì)每一種證書(shū)模板，選擇一個(gè)經(jīng)過(guò)初始化的終端實(shí)體，提出證書(shū)請(qǐng)求。b)檢測(cè)這個(gè)請(qǐng)求是否使用證書(shū)請(qǐng)求消息。c)檢測(cè)能否返回所申請(qǐng)的新證書(shū)。d)選擇一個(gè)已經(jīng)擁有一對(duì)簽名密鑰(帶有相應(yīng)的驗(yàn)證證書(shū))的終端實(shí)體，提出證書(shū)請(qǐng)求。e)檢測(cè)證書(shū)請(qǐng)求消息是否使用此實(shí)體的數(shù)字簽名來(lái)保護(hù)。f)檢測(cè)能否返回所申請(qǐng)的新證書(shū)。g)檢查文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中8.9的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)密鑰更新進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在終端實(shí)體的證書(shū)將要過(guò)期前，評(píng)價(jià)者模擬密鑰更新的過(guò)程。b)檢查文檔是否和標(biāo)準(zhǔn)的規(guī)定一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19714—2005中第9章的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，說(shuō)明在終端實(shí)體、RA、CA之間傳輸PKI消息的傳輸協(xié)議和消息格式。測(cè)評(píng)方法如下。a)如果PKI消息通過(guò)文件傳輸，檢測(cè)PKI消息的格式是否符合標(biāo)準(zhǔn)要求。b)如果PKI消息通過(guò)TCP管理協(xié)議傳輸，檢測(cè)PKI消息的格式是否符合標(biāo)準(zhǔn)要求。c)如果PKI消息通過(guò)E-mail方式傳輸，檢測(cè)PKI消息的格式是否符合標(biāo)準(zhǔn)要求。d)如果PKI消息通過(guò)HTTP方式傳輸，檢測(cè)PKI消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)支持的每種傳輸方式的消息格式和傳輸協(xié)議均符合標(biāo)準(zhǔn)要求，則本項(xiàng)滿足。6.3必選的PKI管理消息結(jié)構(gòu)6.3.1初始的注冊(cè)/認(rèn)證(基本認(rèn)證方案)依據(jù)GB/T19714—2005中B.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，說(shuō)明初始的注冊(cè)/認(rèn)證的消息格式。測(cè)評(píng)方法為：通過(guò)未初始化的終端實(shí)體向CA請(qǐng)求第一個(gè)證書(shū)，根據(jù)開(kāi)發(fā)者所提供的文檔，檢測(cè)終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8依據(jù)GB/T19714—2005中B.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，說(shuō)明證書(shū)請(qǐng)求的消息格式。測(cè)評(píng)方法為：通過(guò)已經(jīng)初始化的終端實(shí)體向CA請(qǐng)求證書(shū)，根據(jù)開(kāi)發(fā)者所提供的文檔，檢測(cè)終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6.3.3密鑰更新請(qǐng)求依據(jù)GB/T19714—2005中B.6的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，說(shuō)明密鑰更新請(qǐng)求的消息格式。測(cè)評(píng)方法為：在密鑰即將過(guò)期前，通過(guò)已經(jīng)初始化的終端實(shí)體向CA請(qǐng)求證書(shū)(用于更新密鑰對(duì)和/或已經(jīng)擁有的相應(yīng)證書(shū)),根據(jù)開(kāi)發(fā)者所提供的文檔，檢測(cè)終端實(shí)體和PKI之間的通信消息是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)7組件最小互操作規(guī)范測(cè)評(píng)7.1組件規(guī)范頒發(fā)數(shù)字簽名證書(shū)依據(jù)GB/T19771—2005中5.2.2a)的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)數(shù)字簽名證書(shū)的頒發(fā)進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)對(duì)每一種證書(shū)模板，通過(guò)授權(quán)RA產(chǎn)生多個(gè)簽名數(shù)字證書(shū)請(qǐng)求，并發(fā)送給CA,檢測(cè)CA能否生成新證書(shū)并將其放在資料庫(kù)中。b)通過(guò)非授權(quán)RA產(chǎn)生一個(gè)簽名數(shù)字證書(shū)請(qǐng)求，并發(fā)送給CA,檢測(cè)CA能否拒絕該證書(shū)申請(qǐng)，能否向RA報(bào)告失敗并說(shuō)明原因。c)通過(guò)授權(quán)RA產(chǎn)生一個(gè)包含不匹配信息的簽名數(shù)字證書(shū)請(qǐng)求，并發(fā)送給CA,檢測(cè)CA能否拒絕該證書(shū)申請(qǐng)，能否向RA報(bào)告失敗并說(shuō)明原因。d)對(duì)每一種證書(shū)模板，產(chǎn)生多個(gè)自我注冊(cè)的證書(shū)請(qǐng)求，并發(fā)送給CA,檢測(cè)CA是否驗(yàn)證請(qǐng)求者的身份并驗(yàn)證申請(qǐng)者的相應(yīng)私鑰，如果驗(yàn)證成功，檢測(cè)CA能否生成新證書(shū)并將其放在資料庫(kù)中；如果驗(yàn)證失敗，檢測(cè)CA能否拒絕該證書(shū)申請(qǐng)，能否向申請(qǐng)者報(bào)告失敗并說(shuō)明原因。e)對(duì)每一種證書(shū)模板，產(chǎn)生多個(gè)更新的證書(shū)請(qǐng)求，并發(fā)送給CA,檢測(cè)CA是否驗(yàn)證請(qǐng)求者的身份，如果驗(yàn)證成功，檢測(cè)CA能否生成新證書(shū)并將其放在資料庫(kù)中；如果簽名無(wú)效或者CA策略不允許更新，檢測(cè)CA能否拒絕該證書(shū)更新請(qǐng)求，并向申請(qǐng)者報(bào)告失敗并說(shuō)明原因。f)以非法的請(qǐng)求者產(chǎn)生一個(gè)更新的證書(shū)請(qǐng)求，檢測(cè)CA能否拒絕該證書(shū)更新請(qǐng)求，能否向申請(qǐng)者報(bào)告失敗并說(shuō)明原因。9記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2b)的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)加密證書(shū)的頒發(fā)進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)由第三方集中產(chǎn)生加密密鑰對(duì)，并通過(guò)帶外方式提供給CA。b)由證書(shū)持有者生成一個(gè)加密證書(shū)請(qǐng)求，說(shuō)明自己想要的加密算法，并對(duì)該請(qǐng)求進(jìn)行數(shù)字簽名，將該請(qǐng)求發(fā)送給CA。c)檢測(cè)CA能否驗(yàn)證請(qǐng)求者身份，并頒發(fā)加密證書(shū)和加密私鑰給請(qǐng)求者。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2c)的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)CA間的交叉認(rèn)證進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在兩個(gè)交叉認(rèn)證的CA之間交換CA的公鑰，分別根據(jù)對(duì)方的公鑰生成證書(shū)，并將其存放到資料庫(kù)中。b)檢測(cè)雙方之間的證書(shū)能否交叉認(rèn)證。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果系統(tǒng)提供交叉認(rèn)證功能，以上結(jié)果全部正確，則本項(xiàng)滿足；如果系統(tǒng)不提供交叉認(rèn)證功能，則此項(xiàng)不作為最終結(jié)果的判斷依據(jù)。依據(jù)GB/T19771—2005中5.2.2d)的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)的撤銷進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)以多個(gè)證書(shū)持有者身份請(qǐng)求撤銷證書(shū)，并將請(qǐng)求發(fā)送給CA,檢測(cè)CA是否驗(yàn)證請(qǐng)求者身份，驗(yàn)證成功后能否將證書(shū)放入CRL中。b)產(chǎn)生新的全量CRL,檢測(cè)老CRL中的全部信息是否放到新CRL中。c)產(chǎn)生新的增量CRL,檢測(cè)新增的撤銷證書(shū)信息是否放到新CRL中。d)通過(guò)RA向CA發(fā)送多個(gè)證書(shū)撤銷請(qǐng)求，檢測(cè)CA是否驗(yàn)證請(qǐng)求者身份，驗(yàn)證成功后能否將證書(shū)放入CRL中。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.2.2f)的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)向上一級(jí)CA申請(qǐng)證書(shū)進(jìn)行說(shuō)明。測(cè)評(píng)方法為：通過(guò)CA向上一級(jí)的CA申請(qǐng)證書(shū)，檢測(cè)能否申請(qǐng)成功。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)RA的操作規(guī)范進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)針對(duì)每一種證書(shū)模板，向RA提交多個(gè)CertReq格式的證書(shū)請(qǐng)求。b)檢測(cè)RA是否審查請(qǐng)求者的身份。c)檢測(cè)RA是否確認(rèn)請(qǐng)求者擁有相應(yīng)的完整的密鑰對(duì)。d)驗(yàn)證通過(guò)后，檢測(cè)RA能否抽取公鑰信息并用RA的名字和簽名建立一個(gè)新的CertReq消息。e)檢測(cè)RA能否將新的CertReq消息發(fā)送給CA。f)如果證書(shū)請(qǐng)求被接受，檢測(cè)RA能否接收CA頒發(fā)的新證書(shū)，并將新證書(shū)發(fā)送給請(qǐng)求者。g)如果證書(shū)請(qǐng)求被拒絕，檢測(cè)RA能否審查從CA發(fā)來(lái)的錯(cuò)誤代碼并向證書(shū)請(qǐng)求者返回證書(shū)拒絕的響應(yīng)消息。h)向RA提交多個(gè)證書(shū)撤銷請(qǐng)求，檢測(cè)RA是否驗(yàn)證請(qǐng)求者身份，并產(chǎn)生新的RevReq消息。i)檢測(cè)RA能否將新的RevReq消息發(fā)送給CA。j)如果證書(shū)撤銷請(qǐng)求被接受，檢測(cè)RA能否接收CA回應(yīng)的RevReq消息，能否將此信息提交給請(qǐng)求者。k)如果證書(shū)撤銷請(qǐng)求被拒絕，檢測(cè)RA能否審查錯(cuò)誤代碼，并再次產(chǎn)生撤銷請(qǐng)求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。7.1.3證書(shū)持有者規(guī)范依據(jù)GB/T19771—2005中5.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)持有者規(guī)范進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)以多個(gè)用戶身份申請(qǐng)簽名證書(shū)，檢測(cè)能否成功申請(qǐng)并且獲取證書(shū)。b)以多個(gè)用戶身份申請(qǐng)加密證書(shū)，檢測(cè)能否成功申請(qǐng)并且獲取證書(shū)。c)以多個(gè)證書(shū)持有者身份，申請(qǐng)撤銷簽名證書(shū)，檢測(cè)能否成功撤銷證書(shū)。d)以多個(gè)證書(shū)持有者身份，申請(qǐng)更新簽名證書(shū)，檢測(cè)能否成功更新證書(shū)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中5.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)客戶規(guī)范進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)驗(yàn)證客戶能否驗(yàn)證簽名。b)驗(yàn)證客戶能否從查詢服務(wù)器檢索證書(shū)和CRLs。c)驗(yàn)證客戶能否驗(yàn)證證書(shū)認(rèn)證路徑。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)7.2數(shù)據(jù)格式7.2.1證書(shū)撤銷列表依據(jù)GB/T19771—2005中6.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)撤銷列表的格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)由CA頒發(fā)證書(shū)撤銷列表。b)下載證書(shū)撤銷列表，檢測(cè)證書(shū)撤銷列表的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。7.2.2事務(wù)消息格式依據(jù)GB/T19771—2005中6.5.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)PKI消息的格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)PKI消息(包括：header、body、p段)的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.5.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)模板、簽名私鑰的擁有證明、證書(shū)請(qǐng)求消息、協(xié)議加密密鑰控制、PKI消息狀態(tài)碼、失敗信息、確認(rèn)協(xié)議、證書(shū)識(shí)別、Cen測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)證書(shū)模板的消息格式是否符合標(biāo)準(zhǔn)要求。b)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)簽名私鑰的擁有證明消息格式是否符合標(biāo)準(zhǔn)要求。c)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)證書(shū)請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。d)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)協(xié)議加密密鑰控制的消息格式是否符合標(biāo)準(zhǔn)要求。e)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)PKI消息狀態(tài)碼的消息格式是否符合標(biāo)準(zhǔn)要求。f)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)失敗信息的消息格式是否符合標(biāo)準(zhǔn)要求。g)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)確認(rèn)協(xié)議的消息格式是否符合標(biāo)準(zhǔn)要求。h)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)證書(shū)識(shí)別的消息格式是否符合標(biāo)準(zhǔn)要求。i)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)CentrallyGeneratedKeys的消息格式是否符合標(biāo)準(zhǔn)要求。j)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)帶外信息的消息格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。特殊操作的數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T19771—2005中6.5.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)注冊(cè)/證書(shū)請(qǐng)求、注冊(cè)/證書(shū)響應(yīng)、撤銷請(qǐng)求的內(nèi)容、撤銷響應(yīng)內(nèi)容、PKCS#10證書(shū)請(qǐng)求的消息格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)注冊(cè)/證書(shū)請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。b)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)注冊(cè)/證書(shū)響應(yīng)的擁有證明消息格式是否符合標(biāo)準(zhǔn)要求。c)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)撤銷請(qǐng)求的內(nèi)容的消息格式是否符合標(biāo)準(zhǔn)要求。d)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)撤銷響應(yīng)內(nèi)容的消息格式是否符合標(biāo)準(zhǔn)要求。e)根據(jù)開(kāi)發(fā)者提供的文檔，檢測(cè)PKCS#10證書(shū)請(qǐng)求的消息格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.2的內(nèi)容進(jìn)行測(cè)評(píng)。如果產(chǎn)品支持遠(yuǎn)端RA,則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)RA發(fā)起的注冊(cè)請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，對(duì)每一種證書(shū)模板，在RA上向CA請(qǐng)求多個(gè)終端實(shí)體的證書(shū)。b)檢測(cè)從RA到CA的證書(shū)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從CA到RA的證書(shū)回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。新實(shí)體的自我注冊(cè)請(qǐng)求依據(jù)GB/T19771—2005中6.6.3的內(nèi)容進(jìn)行測(cè)評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)新實(shí)體的自我注冊(cè)請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，對(duì)每一種證書(shū)模板，以多個(gè)新實(shí)體身份直接向CA申請(qǐng)新的證書(shū)。b)檢測(cè)從證書(shū)持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從CA到證書(shū)請(qǐng)求者的自我注冊(cè)請(qǐng)求回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。已知實(shí)體的自我注冊(cè)請(qǐng)求依據(jù)GB/T19771—2005中6.6.4的內(nèi)容進(jìn)行測(cè)評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)已知實(shí)體的自我注冊(cè)請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，對(duì)每一種證書(shū)模板，以多個(gè)已知實(shí)體身份直接向CA申請(qǐng)新的證書(shū)。b)檢測(cè)從證書(shū)持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從CA到證書(shū)請(qǐng)求者的自我注冊(cè)請(qǐng)求回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.5的內(nèi)容進(jìn)行測(cè)評(píng)。如果CA的CPS支持證書(shū)更新，則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)證書(shū)的更新進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，對(duì)每一種證書(shū)模板，以多個(gè)擁有當(dāng)前有效證書(shū)的實(shí)體身份直接向CA申請(qǐng)新的證書(shū)。b)檢測(cè)從證書(shū)持有者到CA的證書(shū)更新申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從CA到證書(shū)持有者的證書(shū)更新響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.6的內(nèi)容進(jìn)行測(cè)評(píng)。如果CA接受自我注冊(cè)請(qǐng)求，則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)PKCS#10自我注冊(cè)請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，對(duì)每一種證書(shū)模板，以多個(gè)新實(shí)體身份直接向CA申請(qǐng)新的PKCS#10證書(shū)。b)檢測(cè)從證書(shū)持有者到CA的自我注冊(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從CA到證書(shū)請(qǐng)求者的PKCS證書(shū)請(qǐng)求響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.7的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)撤銷請(qǐng)求進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，以多個(gè)擁有當(dāng)前有效證書(shū)的實(shí)體身份直接申請(qǐng)撤銷自己的證書(shū)。b)檢測(cè)從證書(shū)持有者到RA的撤銷請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)從RA到CA的撤銷請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)從CA到RA的撤銷響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。e)檢測(cè)從RA到證書(shū)持有者的撤銷響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。集中產(chǎn)生密鑰對(duì)和密鑰管理證書(shū)申請(qǐng)依據(jù)GB/T19771—2005中6.6.8的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)集中產(chǎn)生密鑰對(duì)和密鑰管理證書(shū)申請(qǐng)進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，以多個(gè)擁有當(dāng)前有效證書(shū)的實(shí)體身份向CA申請(qǐng)產(chǎn)生加密密鑰并簽發(fā)證書(shū)。b)檢測(cè)集中產(chǎn)生密鑰對(duì)申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)集中產(chǎn)生密鑰對(duì)回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T19771—2005中6.6.9的內(nèi)容進(jìn)行測(cè)評(píng)。如果CA支持組合證書(shū)，則開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)組合證書(shū)申請(qǐng)進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的文檔，以多個(gè)新實(shí)體身份向CA申請(qǐng)組合證書(shū)：一個(gè)簽名密鑰證書(shū)和加密證書(shū)。b)檢測(cè)組合證書(shū)申請(qǐng)消息的格式是否符合標(biāo)準(zhǔn)要求。c)檢測(cè)組合證書(shū)回應(yīng)消息的格式是否符合標(biāo)準(zhǔn)要求。d)檢測(cè)確認(rèn)消息的格式是否符合標(biāo)準(zhǔn)要求。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8數(shù)字證書(shū)格式測(cè)評(píng)8.1基本證書(shū)域的數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T20518—2018中5.2.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)對(duì)每一種證書(shū)模板，使用公鑰基礎(chǔ)設(shè)施頒發(fā)多個(gè)數(shù)字證書(shū)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)的基本數(shù)據(jù)結(jié)構(gòu)是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu)依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含版本項(xiàng)。b)檢測(cè)證書(shū)中版本項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含序列號(hào)項(xiàng)。b)檢測(cè)證書(shū)中序列號(hào)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含簽名算法項(xiàng)。b)檢測(cè)證書(shū)中簽名算法項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含頒發(fā)者項(xiàng)。b)檢測(cè)證書(shū)中頒發(fā)者項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含有效期項(xiàng)。b)檢測(cè)證書(shū)中有效期項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體項(xiàng)。b)檢測(cè)證書(shū)中主體項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體公鑰信息項(xiàng)。b)檢測(cè)證書(shū)中主體公鑰信息項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.2.8頒發(fā)者唯一標(biāo)識(shí)符issuerUniqueID依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含頒發(fā)者唯一標(biāo)識(shí)符項(xiàng)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體唯一標(biāo)識(shí)符項(xiàng)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.3證書(shū)擴(kuò)展項(xiàng)頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符authorityKeyIdentifier依據(jù)GB/T20518—2018中.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符項(xiàng)。b)檢測(cè)證書(shū)中頒發(fā)機(jī)構(gòu)密鑰標(biāo)識(shí)符項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。主體密鑰標(biāo)識(shí)符subjec依據(jù)GB/T20518—2018中.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體密鑰標(biāo)識(shí)符項(xiàng)。b)檢測(cè)證書(shū)中主體密鑰標(biāo)識(shí)符項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含密鑰用法項(xiàng)。b)檢測(cè)證書(shū)中密鑰用法項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持?jǐn)U展密鑰用途擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含擴(kuò)展密鑰用途項(xiàng)。c)檢測(cè)證書(shū)中擴(kuò)展密鑰用途項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.6的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持私有密鑰使用期擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含私有密鑰使用期項(xiàng)。c)檢測(cè)證書(shū)中私有密鑰使用期項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.7的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含證書(shū)策略項(xiàng)。b)檢測(cè)證書(shū)中證書(shū)策略項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.8的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持策略映射擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含策略映射項(xiàng)。c)檢測(cè)證書(shū)中策略映射項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.9的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果證書(shū)中的唯一主體身份是一個(gè)選擇名稱格式(如一個(gè)電子郵件地址),主體的甄別名為空序列，則本項(xiàng)為檢測(cè)項(xiàng)目，否則為非檢測(cè)項(xiàng)。b)檢測(cè)證書(shū)中主體替換名稱項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.10的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持頒發(fā)者替換名稱擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含頒發(fā)者替換名稱項(xiàng)。c)檢測(cè)證書(shū)中頒發(fā)者替換名稱項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.11的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持主體目錄屬性擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體目錄屬性項(xiàng)。c)檢測(cè)證書(shū)中主體目錄屬性項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.12的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含基本限制項(xiàng)。b)如果包含基本限制項(xiàng)，檢測(cè)證書(shū)中基本限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。c)如果不包含基本限制項(xiàng)，則該項(xiàng)為非檢測(cè)項(xiàng)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.13的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持名稱限制擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含名稱限制項(xiàng)。c)檢測(cè)證書(shū)中名稱限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.14的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持策略限制擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含策略限制項(xiàng)。c)檢測(cè)證書(shū)中策略限制項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。4證書(shū)撤銷列表分發(fā)點(diǎn)CRLDistributionPoints依據(jù)GB/T20518—2018中.15的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持證書(shū)撤銷列表分發(fā)點(diǎn)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含證書(shū)撤銷列表分發(fā)點(diǎn)項(xiàng)。c)檢測(cè)證書(shū)中證書(shū)撤銷列表分發(fā)點(diǎn)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.16的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持限制所有策略擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含限制所有策略項(xiàng)。c)檢測(cè)證書(shū)中限制所有策略項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。6最新證書(shū)撤銷列表freshestCRL依據(jù)GB/T20518—2018中.17的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持最新證書(shū)撤銷列表擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含最新證書(shū)撤銷列表項(xiàng)。c)檢測(cè)證書(shū)中最新證書(shū)撤銷列表項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.18的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持個(gè)人身份標(biāo)識(shí)碼擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含個(gè)人身份標(biāo)識(shí)碼項(xiàng)。c)檢測(cè)證書(shū)中個(gè)人身份標(biāo)識(shí)碼項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.19的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持個(gè)人社會(huì)保險(xiǎn)號(hào)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含個(gè)人社會(huì)保險(xiǎn)號(hào)項(xiàng)。c)檢測(cè)證書(shū)中個(gè)人社會(huì)保險(xiǎn)號(hào)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。8.3.2專用因特網(wǎng)擴(kuò)展privateInternetExtensionsid-pkix依據(jù)GB/T20518—2018中.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持機(jī)構(gòu)信息訪問(wèn)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含機(jī)構(gòu)信息訪問(wèn)項(xiàng)。c)檢測(cè)證書(shū)中機(jī)構(gòu)信息訪問(wèn)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20518—2018中.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)所頒發(fā)的數(shù)字證書(shū)格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果公鑰基礎(chǔ)設(shè)施支持主體信息訪問(wèn)擴(kuò)展項(xiàng)，則此項(xiàng)為檢測(cè)項(xiàng)，否則為非檢測(cè)項(xiàng)。b)檢測(cè)所頒發(fā)數(shù)字證書(shū)中是否包含主體信息訪問(wèn)項(xiàng)。c)檢測(cè)證書(shū)中主體信息訪問(wèn)項(xiàng)的格式、內(nèi)容是否和標(biāo)準(zhǔn)一致。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9時(shí)間戳規(guī)范測(cè)評(píng)9.1時(shí)間戳的產(chǎn)生和頒發(fā)9.1.1申請(qǐng)和頒發(fā)方式依據(jù)GB/T20520—2006中6.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的申請(qǐng)和頒發(fā)方式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)開(kāi)發(fā)者提供的時(shí)間戳申請(qǐng)和頒發(fā)方式，向TSA申請(qǐng)時(shí)間戳。b)檢測(cè)TSA是否向申請(qǐng)者按開(kāi)發(fā)者提供的頒發(fā)方式返回時(shí)間戳。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.1.2可信時(shí)間的產(chǎn)生方法依據(jù)GB/T20520—2006中6.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)可信時(shí)間的產(chǎn)生方法進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)TSA能否按規(guī)定方式獲得可信時(shí)間。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中6.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間同步的措施和步驟進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在獲得可信時(shí)間后，檢測(cè)TSA能否對(duì)所有部件的時(shí)間進(jìn)行調(diào)整。b)檢測(cè)TSA能否在規(guī)定時(shí)間間隔內(nèi)定期同步時(shí)間。c)調(diào)整時(shí)間同步的間隔時(shí)間，檢測(cè)TSA能否在規(guī)定時(shí)間間隔內(nèi)定期同步時(shí)間。d)檢測(cè)TSA各個(gè)部件是否采取統(tǒng)一行動(dòng)同步時(shí)間。e)檢測(cè)可信時(shí)間源是否為第一個(gè)啟動(dòng)的部件。f)檢測(cè)在TSA開(kāi)始工作之前，是否進(jìn)行了時(shí)間同步。g)在定期同步時(shí)間的過(guò)程中，模擬無(wú)法獲得可信時(shí)間的情況，檢測(cè)TSA是否立即停止接受時(shí)間戳申請(qǐng)和時(shí)間同步，檢測(cè)是否向管理者發(fā)出警報(bào)并寫(xiě)入審計(jì)日志。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.1.4申請(qǐng)和頒發(fā)過(guò)程依據(jù)GB/T20520—2006中6.4的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的申請(qǐng)和頒發(fā)過(guò)程進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)向TSA提交時(shí)間戳申請(qǐng)請(qǐng)求，檢測(cè)請(qǐng)求消息的格式是否符合標(biāo)準(zhǔn)。b)提交一個(gè)不合法的請(qǐng)求信息，檢測(cè)TSA是否產(chǎn)生一個(gè)時(shí)間戳的失敗響應(yīng)，檢測(cè)TSA是否填寫(xiě)申請(qǐng)被拒絕的原因。c)提交一個(gè)合法的請(qǐng)求信息，并且使TSA無(wú)法頒發(fā)這個(gè)時(shí)間戳，檢測(cè)TSA是否產(chǎn)生一個(gè)時(shí)間戳的失敗響應(yīng)，檢測(cè)TSA是否填寫(xiě)申請(qǐng)被拒絕的原因。d)提交一個(gè)合法的請(qǐng)求信息，并且TSA運(yùn)行正常，檢測(cè)TSA能否頒發(fā)一個(gè)格式正確的時(shí)間戳并簽名。e)檢測(cè)TSA簽名系統(tǒng)是否通過(guò)可信通道把新生成的時(shí)間戳發(fā)送給時(shí)間戳數(shù)據(jù)庫(kù)，并由時(shí)間戳數(shù)據(jù)庫(kù)將其歸檔保存。f)使TSA系統(tǒng)將合法的時(shí)間戳按規(guī)定方式發(fā)給用戶，檢測(cè)能否發(fā)送成功；在收到合法的時(shí)間戳后，檢測(cè)用戶是否驗(yàn)證時(shí)間戳的合法性。g)使TSA系統(tǒng)將不合法或錯(cuò)誤的時(shí)間戳按規(guī)定方式發(fā)給用戶，檢測(cè)能否發(fā)送成功；在收到不合法或錯(cuò)誤的時(shí)間戳后，檢測(cè)用戶能否驗(yàn)證出不合法或錯(cuò)誤的時(shí)間戳。h)測(cè)評(píng)人員檢測(cè)TSA對(duì)g)中的情況是否有完備的處理預(yù)案，并檢測(cè)處理預(yù)案的可行性。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)9.2時(shí)間戳的管理9.2.1時(shí)間戳的保存依據(jù)GB/T20520—2006中7.1.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)TSA系統(tǒng)中時(shí)間戳的保存進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)根據(jù)說(shuō)明，檢測(cè)TSA系統(tǒng)是否保存了所有頒發(fā)的時(shí)間戳。b)檢測(cè)是否保存了時(shí)間戳的以下信息：入庫(kù)時(shí)間、序列號(hào)、完整編碼。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.2時(shí)間戳的備份依據(jù)GB/T20520—2006中7.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的備份進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)時(shí)間戳的備份是否使用異地備份的方式。b)檢測(cè)開(kāi)發(fā)者是否采取嚴(yán)格的措施保護(hù)時(shí)間戳的備份介質(zhì)，防止備份介質(zhì)被盜、被毀和受損。c)檢測(cè)時(shí)間戳的備份數(shù)據(jù)是否以方便檢索的方式存放。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.3時(shí)間戳的檢索依據(jù)GB/T20520—2006中7.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的檢索進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)TSA是否提供一個(gè)時(shí)間戳檢索的方式。b)檢測(cè)TSA是否提供現(xiàn)存以及備份的時(shí)間戳以供檢索。c)檢測(cè)TSA能否通過(guò)時(shí)間戳入庫(kù)的時(shí)間進(jìn)行檢索。d)檢測(cè)TSA能否通過(guò)時(shí)間戳的序列號(hào)進(jìn)行檢索。e)檢測(cè)TSA能否通過(guò)時(shí)間戳的完整編碼進(jìn)行檢索。f)檢測(cè)時(shí)間戳的檢索結(jié)果能否發(fā)送給用戶。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.4時(shí)間戳的刪除和銷毀依據(jù)GB/T20520—2006中7.4.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的刪除進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)以TSA管理員身份登錄系統(tǒng)，備份要?jiǎng)h除的時(shí)間戳，然后刪除此時(shí)間戳，檢測(cè)能否刪除成功。b)以非授權(quán)用戶身份登錄系統(tǒng)，嘗試刪除時(shí)間戳，檢測(cè)能否刪除成功。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中7.4.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的銷毀進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)在TSA證書(shū)失效前，嘗試銷毀所有時(shí)間戳，檢測(cè)能否銷毀成功。b)在TSA證書(shū)失效后，并且超過(guò)了規(guī)定的保存時(shí)間，以非授權(quán)用戶身份登錄系統(tǒng)，銷毀所有時(shí)間戳(包括備份),檢測(cè)能否銷毀成功。c)在TSA證書(shū)失效后，并且超過(guò)了規(guī)定的保存時(shí)間，以TSA管理員身份登錄系統(tǒng)，銷毀所有時(shí)間戳(包括備份),檢測(cè)能否銷毀成功。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.2.5時(shí)間戳的查看和驗(yàn)證依據(jù)GB/T20520—2006中7.5.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的查看進(jìn)行說(shuō)明。測(cè)評(píng)方法為：通過(guò)TSA提供的查看時(shí)間戳的方法，檢測(cè)用戶能否查看時(shí)間戳中所有可查看的內(nèi)容。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中7.5.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳的驗(yàn)證進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)通過(guò)CRL或OCSP協(xié)議，檢測(cè)用戶能否驗(yàn)證TSA證書(shū)的有效性。b)通過(guò)TSA提供的驗(yàn)證時(shí)間戳的方法，檢測(cè)用戶能否驗(yàn)證時(shí)間戳是由該TSA簽發(fā)。c)通過(guò)TSA提供的驗(yàn)證時(shí)間戳的方法，檢測(cè)用戶能否驗(yàn)證時(shí)間戳是指定文件的時(shí)間戳。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3時(shí)間戳的格式依據(jù)GB/T20520—2006中8.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)TSA系統(tǒng)進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)所頒發(fā)的時(shí)間戳里，是否包含以下內(nèi)容：1)一個(gè)可信時(shí)間值；2)一個(gè)一次性隨機(jī)整數(shù)(nonce域),若此項(xiàng)不存在則為非檢測(cè)項(xiàng)；3)一個(gè)唯一的標(biāo)識(shí)符(表明了時(shí)間戳生成時(shí)的安全策略),若此項(xiàng)不存在則為非檢測(cè)項(xiàng)。b)檢測(cè)TSA能否檢查單向散列函數(shù)的標(biāo)識(shí)符，能否驗(yàn)證散列值長(zhǎng)度的正確性。c)檢測(cè)是否只在散列值上蓋時(shí)間戳。d)檢測(cè)時(shí)間戳內(nèi)是否包含任何請(qǐng)求方的標(biāo)識(shí)，如果包含，則此項(xiàng)不符合。e)檢測(cè)TSA系統(tǒng)是否使用專門(mén)的密鑰對(duì)時(shí)間戳簽名，并檢測(cè)密鑰對(duì)應(yīng)證書(shū)中是否說(shuō)明了該密鑰的這個(gè)用途。f)使請(qǐng)求方在申請(qǐng)消息的擴(kuò)展域內(nèi)提出一些額外的要求，如果TSA支持這些擴(kuò)展，檢測(cè)時(shí)間戳內(nèi)是否包含相應(yīng)的擴(kuò)展信息。g)使請(qǐng)求方在申請(qǐng)消息的擴(kuò)展域內(nèi)提出一些額外的要求，如果TSA不支持這些擴(kuò)展，檢測(cè)TSA是否返回一個(gè)出錯(cuò)信息。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)密鑰標(biāo)識(shí)進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)TSA系統(tǒng)的所有密鑰對(duì)應(yīng)的證書(shū)中，是否包含唯一的KeyUsage擴(kuò)展域，并檢測(cè)格式是否正確。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.3時(shí)間的表示格式依據(jù)GB/T20520—2006中8.3的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間的表示格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)時(shí)間戳的時(shí)間表示格式是否正確。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.4時(shí)間戳申請(qǐng)和響應(yīng)消息格式依據(jù)GB/T20520—2006中8.4.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)申請(qǐng)消息格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)時(shí)間戳的申請(qǐng)消息格式是否正確。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.4.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)響應(yīng)消息格式進(jìn)行說(shuō)明。測(cè)評(píng)方法為：檢測(cè)時(shí)間戳的響應(yīng)消息格式是否正確。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.5的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳申請(qǐng)和響應(yīng)消息的文件保存格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)將時(shí)間戳申請(qǐng)消息保存為文件，檢測(cè)文件擴(kuò)展名是否為：tsg;使用二進(jìn)制查看工具查看文件是否只包含消息的DER編碼，并檢測(cè)編碼格式是否正確。b)將時(shí)間戳響應(yīng)消息保存為文件，檢測(cè)文件擴(kuò)展名是否為：tsr;使用二進(jìn)制查看工具查看文件是否只包含消息的DER編碼，并檢測(cè)編碼格式是否正確。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.6.1的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)電子郵件傳輸格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果使用電子郵件傳輸時(shí)間戳申請(qǐng)和響應(yīng)消息，則本項(xiàng)為檢測(cè)項(xiàng)目，否則為非檢測(cè)項(xiàng)。b)使用電子郵件進(jìn)行時(shí)間戳申請(qǐng)，并獲取時(shí)間截。c)使用協(xié)議分析儀截取整個(gè)時(shí)間戳申請(qǐng)和響應(yīng)的數(shù)據(jù)包，并進(jìn)行協(xié)議還原，檢測(cè)時(shí)間戳申請(qǐng)和響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。依據(jù)GB/T20520—2006中8.6.2的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)HTTP傳輸格式進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果使用HTTP協(xié)議傳輸時(shí)間戳申請(qǐng)和響應(yīng)消息，則本項(xiàng)為檢測(cè)項(xiàng)目，否則為非檢測(cè)項(xiàng)。b)使用HTTP協(xié)議進(jìn)行時(shí)間戳申請(qǐng)，并獲取時(shí)間戳。c)使用協(xié)議分析儀截取整個(gè)時(shí)間戳申請(qǐng)和響應(yīng)的數(shù)據(jù)包，并進(jìn)行協(xié)議還原，檢測(cè)時(shí)間戳申請(qǐng)和響應(yīng)消息的格式是否符合標(biāo)準(zhǔn)。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.3.7時(shí)間戳格式的安全考慮依據(jù)GB/T20520—2006中8.7的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)時(shí)間戳格式的安全考慮進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)如果請(qǐng)求方產(chǎn)生nonce值，檢測(cè)請(qǐng)求方是否使用一次性隨機(jī)數(shù)；如果請(qǐng)求方采取其他措施防范重放攻擊，檢測(cè)該措施是否有效。b)檢測(cè)請(qǐng)求方是否不采用局部時(shí)鐘來(lái)考慮等待響應(yīng)的時(shí)間。c)分別以不同實(shí)體身份用同樣的數(shù)據(jù)和同樣的散列算法申請(qǐng)時(shí)間戳，檢測(cè)TSA系統(tǒng)的處理措施是否正確。d)以同一實(shí)體身份對(duì)同一對(duì)象多次申請(qǐng)時(shí)間戳，檢測(cè)TSA系統(tǒng)和客戶端的處理措施是否正確。e)檢測(cè)TSA系統(tǒng)是否采用nonce域申請(qǐng)消息，以檢查重放攻擊。f)檢測(cè)TSA系統(tǒng)是否采用局部時(shí)鐘和移動(dòng)的時(shí)間窗口，以檢查重放攻擊；如果請(qǐng)求方采取其他措施防范重放攻擊，檢測(cè)該措施是否有效。記錄測(cè)評(píng)結(jié)果并對(duì)該結(jié)果是否完全符合標(biāo)準(zhǔn)相關(guān)要求作出判斷。如果以上結(jié)果全部符合，則本項(xiàng)滿足。9.4時(shí)間戳系統(tǒng)的安全依據(jù)GB/T20520—2006中的內(nèi)容進(jìn)行測(cè)評(píng)。開(kāi)發(fā)者應(yīng)提供文檔，針對(duì)審計(jì)事件進(jìn)行說(shuō)明。測(cè)評(píng)方法如下。a)檢測(cè)TSA的簽名系統(tǒng)是否對(duì)以下事件產(chǎn)生審計(jì)記錄：1)審計(jì)功能的啟動(dòng)和結(jié)束；2)表1中的事件。表1審計(jì)事件TSA功能事件附加信息安全審計(jì)所有對(duì)審計(jì)變量(如：時(shí)間間隔，審計(jì)事件的類型)的改變所有刪除審計(jì)記錄的企圖對(duì)審計(jì)日志簽名數(shù)字簽名，散列結(jié)果或鑒別碼應(yīng)該保存在審計(jì)日志之中本地?cái)?shù)據(jù)輸入所有的安全相關(guān)數(shù)據(jù)輸入系統(tǒng)若輸入的數(shù)據(jù)與其他數(shù)據(jù)相關(guān)則須驗(yàn)證用戶訪問(wèn)相關(guān)數(shù)據(jù)的權(quán)限遠(yuǎn)程數(shù)據(jù)輸入所