信息安全技术公钥基础设施测试评价方法-全国信息安全标准化技术.DOC

-《信息安全技术 公钥基础设施测试评价方法》编制说明 概述 意义 随着《中华人民共和国电子签名法》的颁布实施，数字签名证书和手写签名在法律上具有了同等的地位，这为数字签名证书的广泛应用打下了良好的法律基础，也对电子认证服务提供者提出了更高的要求。为了规范公钥基础设施的建设和运行，目前国标委发布了6个公钥基础设施的国家标准： GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议 GB/T 19714-2005 信息技术 安全技术 公钥基础设施 证书管理协议 GB/T 19771-2005 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范 GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范 GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范 《信息安全技术 公钥基础设施测试评价方法》（以下简称《测试评价方法》），依据国家颁布的公钥基础设施的标准，对国内的公钥基础设施提出具体的测试评价指南，国内的检测机构根据《测试评价方法》和国家标准，能够对公钥基础设施进行标准化的测试和评价，从而保证测试评价结果的完整性和一致性。 后经专家讨论，建议将本标准名称变更为：《信息安全技术 公钥基础设施 标准一致性测试评价指南》。 主要工作过程 2007年9月，国标委批准本标准项目，我检测中心立刻成立了标准编制小组，小组主要成员为：邱梓华、顾健、张笑笑、邹春明、宋好好、张艳、顾玮、张岚、马海燕； 2007年9月－12月，编制小组对国标委发布的6个公钥基础设施的国家标准进行研究， 并参考了目前国标委已经发布的相关测试评价指南，如： GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价指南 GB/T 20277-2006 网络和终端设备隔离部件测试评价指南 GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价指南 GB/T 20280-2006 信息安全技术 网络脆弱性扫描产品测试评价指南 GB/T 20945-2007 信息安全技术 信息系统安全审计产品技术要求和测试评价指南 在研究的基础上，结合对CA的测试经验，完成了《测试评价方法》的标准初稿； 2008年1月－4月，编制小组根据《测试评价方法》标准初稿对实际产品进行检测，根据测试的实际，进一步完善《测试评价方法》标准初稿； 2008年5月－10月，编制小组征求相关企业和专家意见，并不断进行修改完善； 2008年10月22日，WG4工作组组织了冯登国、袁文恭、荆继武、吴亚非和崔书昆等专家，在北京应物会议中心对本标准进行了项目中期检查，与会专家对本标准提出了很好的建议和意见。会后根据专家意见，编制组对标准进行了修改完善和补充，例如增加根密钥的分散保存问题、增加对测试环境的描述、增加对结果判据的描述、增加对评价方法的描述、增加综合评价部分。具体内容详见意见汇总处理表（1）。 2009年 1月，本标准在WG4工作组内部进行了意见征求，信息安全国家重点实验室、国家信息安全工程技术研究中心、天威诚信等成员单位对本标准提出了相关建议和意见。根据与会者所提意见，编制组对标准进行了修改完善。此次修改除了对标准中不明确的内容进一步完善以外，根据测试环境图给出公钥基础设施测试环境的详细描述和对测试环境的技术要求。具体内容详见意见汇总处理表（2）。 2009年 4月，吴亚非和袁文恭两位专家对标准提出了“评价适用范围应说明”、“对密码用法做说明限制”等修改意见，根据专家意见，编制组进行了修改完善。具体内容详见意见汇总处理表（3）。 2009年 4月8日，WG4工作组在国家信息安全重点实验室组织了冯登国、袁文恭、荆继武、关振胜、郭晓雷、李丹、何良生、谢永泉、高能等专家，对标准进行了评审。与会专家对标准提出了修改意见，根据专家意见，编制组进行了修改完善，如将标准名称变更为：公钥基础设施 标准一致性测试评价指南，将“公钥基础设施测试环境”作为资料性附录等。具体内容详见意见汇总处理表（4）。 2009年 11月12日，WG4工作组在北京应物会议中心组织了崔书昆、袁文恭、吴亚非、王立福、赵战生、荆继武、李智虎、郝淑芬等专家，对标准（送审稿）进行了评审。与会专家对标准提出了修改意见，并建议修改后报批。根据专家意见，编制组进行了修改完善。具体内容详见意见汇总处理表（5）。 主要研究内容 本标准的主要研究内容为公钥基础设施的测试评价指南，根据国家颁布的公钥基础设施的标准，为标准中的每一个测试项目，制定具体的测试评价指南和测试步骤，并准确描述测试评价结果的判断。 本标准规定了对公钥基础设施的测试、评价方法，适用于对公钥基础设施的评测、研发