GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求

1

ICS35.040

L80

中华人民共和国国家标准

GB/T21053—2007

信息安全技术公钥基础设施

PKI系统安全等级保护技术要求

Informationsecuritytechniques-Publickeyinfrastructure-

TechnologyrequirementforsecurityclassificationprotectionofPKIsystem

2007-08-23发布2008-01-01实施

中华人民共和国国家质量监督检验检疫总局

中国国家标准化管理委员会

发布

GB/T21053—2007

I

目次

前言...............................................................................IV

引言................................................................................V

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4缩略语..............................................................................2

5安全等级保护技术要求................................................................2

5.1第一级.............................................................................2

5.1.1概述.............................................................................2

5.1.2物理安全.........................................................................2

5.1.3角色与责任.......................................................................2

5.1.4访问控制.........................................................................3

5.1.5标识与鉴别.......................................................................4

5.1.6数据输入输出.....................................................................4

5.1.7密钥管理.........................................................................4

5.1.8轮廓管理.........................................................................5

5.1.9证书管理.........................................................................6

5.1.10配置管理........................................................................7

5.1.11分发和操作......................................................................7

5.1.12开发............................................................................7

5.1.13指导性文档......................................................................7

5.1.14生命周期支持....................................................................8

5.1.15测试............................................................................8

5.2第二级.............................................................................8

5.2.1概述.............................................................................8

5.2.2物理安全.........................................................................8

5.2.3角色与责任.......................................................................8

5.2.4访问控制.........................................................................9

5.2.5标识与鉴别......................................................................10

5.2.6审计............................................................................10

5.2.7数据输入输出....................................................................12

5.2.8备份与恢复......................................................................12

5.2.9密钥管理........................................................................12

5.2.10轮廓管理.......................................................................13

5.2.11证书管理.......................................................................14

5.2.12配置管理.......................................................................15

5.2.13分发和操作.....................................................................15

5.2.14开发...........................................................................16

5.2.15指导性文档.....................................................................16

GB/T21053—2007

II

5.2.16生命周期支持...................................................................16

5.2.17测试...........................................................................16

5.2.18脆弱性评定.....................................................................17

5.3第三级............................................................................17

5.3.1概述............................................................................17

5.3.2物理安全........................................................................17

5.3.3角色与责任......................................................................17

5.3.4访问控制........................................................................18

5.3.5标识与鉴别......................................................................20

5.3.6审计............................................................................21

5.3.7数据输入输出....................................................................22

5.3.8备份与恢复......................................................................23

5.3.9密钥管理........................................................................23

5.3.10轮廓管理.......................................................................26

5.3.11证书管理.......................................................................27

5.3.12配置管理.......................................................................28

5.3.13分发和操作.....................................................................28

5.3.14开发...........................................................................29

5.3.15指导性文档.....................................................................29

5.3.16生命周期支持...................................................................30

5.3.17测试...........................................................................30

5.3.18脆弱性评定.....................................................................30

5.4第四级............................................................................31

5.4.1概述............................................................................31

5.4.2物理安全........................................................................31

5.4.3角色与责任......................................................................31

5.4.4访问控制........................................................................32

5.4.5标识与鉴别......................................................................33

5.4.6审计............................................................................34

5.4.7数据输入输出....................................................................36

5.4.8备份与恢复......................................................................37

5.4.9密钥管理........................................................................37

5.4.10轮廓管理.......................................................................40

5.4.11证书管理.......................................................................41

5.4.12配置管理.......................................................................42

5.4.13分发和操作.....................................................................43

5.4.14开发...........................................................................43

5.4.15指导性文档.....................................................................44

5.4.16生命周期支持...................................................................44

5.4.17测试...........................................................................45

5.4.18脆弱性评定.....................................................................45

5.5第五级............................................................................45

5.5.1概述............................................................................45

5.5.2物理安全........................................................................45

GB/T21053—2007

III

5.5.3角色与责任......................................................................45

5.5.4访问控制........................................................................46

5.5.5标识与鉴别......................................................................48

5.5.6审计............................................................................49

5.5.7数据输入输出....................................................................50

5.5.8备份与恢复......................................................................51

5.5.9密钥管理........................................................................52

5.5.10轮廓管理.......................................................................55

5.5.11证书管理.......................................................................56

5.5.12配置管理.......................................................................57

5.5.13分发和操作.....................................................................57

5.5.14开发...........................................................................58

5.5.15指导性文档.....................................................................58

5.5.16生命周期支持...................................................................59

5.5.17测试...........................................................................59

5.5.18脆弱性评定.....................................................................59

附录A（规范性附录）安全要素要求级别划分..........................................61

参考文献.............................................................................62

GB/T21053—2007

IV

前言

（略）

GB/T21053—2007

V

引言

公开密钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利

用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理

公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻辑部件和OCSP等可选服

务部件以及所依赖的运行环境。

《PKI系统安全等级保护技术要求》按五级划分的原则，制定PKI系统安全等级保护技术要求，详

细说明了为实现GB/TAAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保

这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施，以及各安全技术要求在

不同安全级中具体实现上的差异。第一级为最低级别，第五级为最高级别，随着等级的提高，PKI系统

安全等级保护的要求也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。

GB/T21053—2007

信息安全技术公钥基础设施

PKI系统安全等级保护技术要求

1范围

本标准依据GB/TAAA—200×的五个安全保护等级的划分，规定了不同等级PKI系统所需要的安全

技术要求。

本标准适用于PKI系统的设计和实现，对于PKI系统安全功能的研制、开发、测试和产品采购亦

可参照使用。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的

修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，提倡使用本标准的各方探讨使用其最

新版本的可能性。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T19713-2005信息安全技术公钥基础设施在线证书状态协议

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20518-2006信息安全技术公钥基础设施数字证书格式

GB/T21054-2007信息安全技术公钥基础设施PKI系统安全等级保护评估准则

GB/T21052-2007信息安全技术信息系统物理安全技术要求

GB/T20984-2007信息安全技术信息安全风险评估指南

3术语和定义

下列术语和定义适用于本标准。

3.1

公开密钥基础设施（PKI）publickeyinfrastructure(PKI)

公开密钥基础设施是支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。

3.2

PKI系统PKIsystem

PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基

本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。

3.3

安全策略securitypolicy

一系列安全规则的准确规定，包括从本标准中派生出的规则和供应商添加的规则。

3.4

分割知识splitknowledge

两个或两个以上实体分别保存密钥的一部分，密钥的每个部分都不应泄露密钥的明文有效信息，而

当这些部分在加密模块中合在一起时可以得到密钥的全部信息，这种方法就叫分割知识。

3.5

分割知识程序splitknowledgeprocedure

用来实现分割知识的程序。

3.6

保护轮廓protectionprofile

GB/T21053—2007

2

一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。

3.7

关键性扩展criticalextension

证书或CRL中一定能够被识别的扩展项，若不能识别，该证书或CRL就无法被使用。

3.8

审计踪迹audittrail

记录一系列审计信息和事件的日志。

3.9

系统用户systemuser

对PKI系统进行管理、操作、审计、备份、恢复的工作人员，系统用户一般在PKI系统中被赋予

了指定的角色。

3.10

终端用户terminateuser

使用PKI系统所提供服务的远程普通用户。

4缩略语

以下缩略语适用于本标准：

CA认证机构CertificationAuthority

CPS认证惯例陈述CertificationPracticeStatement

CRL证书撤销列表CertificateRevocationList

OCSP在线证书状态协议OnlineCertificateStatusProtocol

PP保护轮廓ProtectionProfile

RA注册机构RegistrationAuthority

TOE评估对象TargetOfEvaluation

TSFTOE安全功能TOESecurityFunction

5安全等级保护技术要求

5.1第一级

5.1.1概述

第一级的PKI系统，由用户自主保护，所保护的资产价值很低，面临的安全威胁很小，适用于安

全要求非常低的企业级PKI系统。PKI系统面临的风险，应按照GB/T20984—2007进行评估。结构

设计上，PKI系统的CA、RA、证书资料库可不进行明确的分化，所有功能软件模块可全部安装在同

一台计算机系统上。第一级PKI系统的安全要素要求列表见附录A。

5.1.2物理安全

进行PKI系统硬件设备、相关环境和系统安全的设计时，应按照GB/T21052—2007第4章所描述

的要求。

5.1.3角色与责任

开发者应提供PKI系统管理员和操作员的角色定义。

管理员角色负责：安装、配置、维护系统；建立和管理用户账户；配置轮廓；生成部件密钥。

操作员角色负责：签发和撤销证书。

角色的安全功能管理应按表1中的配置对授权的角色修改安全功能的能力进行限制。

表1授权的角色对于安全功能的管理

功能授权角色

证书注册验证证书字段或扩展字段内容正确性的权限应授权给操作员；

GB/T21053—2007

3

若使用自动过程验证证书字段和扩展字段，那么，配置自动过

程的权限应授权给操作员。

数据输入和输出私钥输出应由管理员执行。

证书状态变更的许可只有操作员可以配置用于撤销证书的自动过程和相关信息；

只有操作员可以配置用于证书挂起的自动过程和相关信息。

PKI系统配置对于PKI系统功能的任何配置权应仅授予管理员。（除了在本

标准中其它地方所定义的分配给其它角色的TSF功能，这一

要求应用于所有的配置变量）。

证书轮廓管理更改证书轮廓的权限应仅授予管理员。

撤销轮廓管理更改撤销轮廓的权限应仅授予管理员。

证书撤销列表轮廓管理更改证书撤销列表轮廓的权限应仅授予管理员。

在线证书状态查询轮廓

管理

更改在线证书状态查询轮廓的权限应仅授予管理员。

5.1.4访问控制

5.1.4.1系统用户访问控制

PKI系统文档中，应有访问控制的相关文档，访问控制文档中的访问控制策略应包含如下几个方

面：

a)角色及其相应的访问权限

角色及其相应的访问权限的分配见表2。

表2角色及其相应的访问权限

功能事件

证书请求数据的远程和本地输入证书请求数据的输入操作应仅由操作员和申请证书的

主体所完成。

证书撤销请求数据的远程和本地

输入

证书撤销请求数据的输入操作应仅由操作员和申请撤

销证书的主体所完成。

数据输出仅系统用户可以请求导出关键和安全相关数据。

密钥生成仅管理员可以请求生成部件密钥（在多次连接或消息中

用于保护数据）。

私钥载入仅管理员可以请求向加密模块载入部件私钥。

私钥存储仅操作员可以提出对证书私钥解密的请求；

PKI系统安全功能不应提供解密证书私钥以用来进行

数字签名的能力。

可信公钥的输入、删除和存储仅管理员有权更改（增加、修改、删除）信任公钥。

对称密钥存储仅管理员有权产生将PKI系统对称密钥载入加密模块

请求。

私钥和对称密钥销毁仅管理员有权将PKI系统的私钥和对称密钥销毁。

私钥和对称密钥的输出仅管理员有权输出部件私钥；

仅操作员有权输出证书私钥。

证书状态更改许可仅操作员和证书主体有权申请使证书进入挂起状态；

仅操作员有权解除证书的挂起状态；

仅操作员有权批准证书进入挂起状态；

仅操作员和证书主体有权申请撤销证书；

仅操作员有权批准撤销证书和所有被撤销信息。

GB/T21053—2007

4

b)标识与鉴别系统用户的过程

应符合5.1.5的要求。

c)角色的职能分割

应符合5.1.3的要求。

5.1.4.2网络访问控制

进行远程访问时，PKI系统应提供访问控制。远程用户只有被认证通过后，PKI系统才允许访问，

并只对授权用户提供被授权使用的服务。远程计算机系统与PKI系统的连接应被认证，认证方法包括

计算机地址、访问时间、拥有的密钥等。PKI系统应定义网络访问控制策略。

5.1.5标识与鉴别

标识与鉴别包括建立每一个用户所声称的身份，和验证每一个用户确实是他所声称的用户。确保

用户与正确的安全属性相关联。

5.1.5.1用户属性定义

PKI系统应维护每个用户的安全属性。

安全属性包括但不限于身份、组、角色、许可、安全和完整性等级。

5.1.5.2用户鉴别

PKI系统的安全功能应预先设定PKI系统代表用户执行的、与安全功能无关的动作，在用户身份

被鉴别之前，允许PKI系统执行这些预设动作，包括：

a)响应查询公开信息（如：在线证书状态查询等）;

b)接收用户发来的数据，但直到系统用户批准之后才处理。

管理员应对鉴别数据进行管理。

PKI系统应定义所支持的用户鉴别机制的类型。

5.1.5.3用户标识

PKI系统的安全功能应预先设定PKI系统代表用户执行的、与安全功能无关的动作，在标识用户

身份之前，允许PKI系统执行这些预设动作，包括：

a)响应查询公开信息（如：在线证书状态查询等）;

b)接收用户发来的数据，但直到系统用户批准之后才处理。

5.1.5.4用户主体绑定

在PKI系统安全功能控制范围之内，对一个已标识与鉴别的用户，为了完成某个任务，需要激活

另一个主体，这时，应通过用户主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所

有可审计行为相关联，使用户对自己的行为负责。

5.1.6数据输入输出

5.1.6.1TSF间用户数据传送的保密性

当用户数据通过外部信道在PKI系统之间或PKI系统用户之间传递时，PKI系统应执行访问控制

策略，使得能以某种防止未授权泄露的方式传送用户数据。

5.1.6.2输出TSF数据的保密性

在TSF数据从TSF到远程可信IT产品的传送过程中，应保护机密数据不被未授权泄露。

这些机密数据可以是TSF的关键数据，如口令、密钥、审计数据或TSF的可执行代码。

5.1.7密钥管理

5.1.7.1密钥生成

5.1.7.1.1PKI系统密钥生成

系统用户密钥生成应由相应级别的CA或RA等机构进行，可用软件方法产生，生成算法和密钥

长度等应符合国家密码行政管理部门的规定。在进行密钥生成时，PKI系统应限制非授权人员的参与。

CA签名公私钥对应采用国家密码行政管理部门认可的方法生成，可用软件方法或硬件密码设备产

生。在密钥生成时应检查用户角色，并设置为只有管理员才能启动CA密钥生成过程。

GB/T21053—2007

5

5.1.7.1.2终端用户密钥生成

终端用户的密钥可由用户自己生成，也可委托CA、RA等PKI系统的服务机构生成。

终端用户密钥可用软件方法产生，生成算法和密钥长度等应符合国家密码行政管理部门的规定。

5.1.7.2密钥传送与分发

5.1.7.2.1PKI系统密钥传送与分发

系统用户密钥的传送与分发应以加密形式直接发送到系统用户证书载体中，加密算法等应符合国

家密码行政管理部门的规定。

CA公钥分发方法应适当、切实可行，如提供根证书和CA证书下载、或与终端用户证书一起下载

等，应符合国家密码行政管理部门对密钥分发的相关规定。

5.1.7.2.2终端用户密钥传送与分发

如果终端用户自己生成密钥对，把公钥传送给CA是证书注册过程的一部分。终端用户应将公钥

安全的提交给CA，如使用证书载体等方法进行面对面传送。

如果终端用户委托CA生成密钥对，则不需要签发前的终端用户公钥传送。CA向用户传送与分发

私钥应以加密形式进行，加密算法等应符合国家密码行政管理部门的规定。

5.1.7.3密钥存储

系统用户密钥可用软件加密的形式存储，加密算法应符合国家密码行政管理部门的规定。

CA签名私钥应存储于国家密码行政管理部门规定的密码模块中或由硬件密码设备加密后存储。

终端用户密钥由用户自行存储。

5.1.8轮廓管理

5.1.8.1证书轮廓管理

证书轮廓定义证书中的字段和扩展可能的值，这些字段和扩展应与GB/T20518-2006标准相一致。

证书轮廓包括的信息有：

a)与密钥绑定的用户的标识符；

b)主体的公私密钥对可使用的加密算法；

c)证书发布者的标识符；

d)证书有效时间的限定；

e)证书包括的附加信息；

f)证书的主体是否是CA；

g)与证书相对应的私钥可执行的操作；

h)证书发布所使用的策略。

PKI系统应具备证书轮廓，并保证发布的证书与证书轮廓中的描述一致。PKI系统管理员应为以

下字段和扩展指定可能的值：

a)密钥所有者的标识符；

b)公私密钥对主体的算法标识符；

c)证书发布者的标识符；

d)证书的有效期；

5.1.8.2证书撤销列表轮廓管理

证书撤消列表轮廓用于定义CRL中字段和扩展中可接受的值，这些字段和扩展应与GB/T

20518-2006标准相一致。CRL轮廓可能要定义的值包括：

a)CRL可能或者必须包括的扩展和每一扩展的可能的值；

b)CRL的发布者；

c)CRL的下次更新日期。

若PKI系统发布CRL，则应具备证书撤销列表轮廓，并保证发布的CRL与该轮廓中的规定相一

致。PKI系统管理员应规定以下字段和扩展的可能的取值:

GB/T21053—2007

6

a)issuer；

b)issuerAltName。

5.1.8.3在线证书状态协议轮廓管理

在线证书状态协议轮廓用于定义一系列在OCSP响应中可接受的值。OCSP轮廓应规定PKI系统

可能产生的OCSP响应的类型和这些类型可接受的值。

a)若PKI系统发布OCSP响应，PKI系统应具备OCSP轮廓并保证OCSP响应与轮廓一致；

b)若PKI系统发布OCSP响应，PKI系统应要求管理员为responseType字段指定可接受的值；

c)若PKI系统允许使用基本响应类型(basicresponsetype)的OCSP响应，则PKI系统管理员应

为ResponderID指定可接受的值。

5.1.9证书管理

5.1.9.1证书注册

PKI系统所签发的公钥证书应与GB/T20518-2006相一致。任何证书所包含的字段或扩展应被PKI

系统根据GB/T20518-2006生成或经由颁发机构验证以保证其与标准的一致性。

输入证书字段和扩展中的数据应被批准。证书字段或扩展的值可有以下4种方式获得批准：

a)数据被操作员手工批准；

b)自动过程检查和批准数据；

c)字段或扩展的值由PKI系统自动的生成；

d)字段或扩展的值从证书轮廓中获得。

进行证书生成时，

a)应仅产生与GB/T20518-2006中规定的证书格式相同的证书；

b)应仅生成与现行证书轮廓中定义相符的证书；

c)PKI系统应验证预期的证书主体拥有与证书中包含的公钥相对应的私钥，除非公私密钥对是

由PKI系统所产生的；

d)PKI系统应保证：

1)version字段应为0，1，2；

2)若包含issuerUniqueID或subjectUniqueID字段则version字段应为1或2；

3)若证书包含extensions那么version字段应为2；

4)serialNumber字段对CA应是唯一的；

5)validity字段应说明不早于当时时间的notBefore值和不早于notBefore时间的notAfter

值；

6)若issuer字段为空证书应包括一个issuerAltName的关键性扩展；

7)若subject字段为空，证书应包括一个subjectAltName的关键性扩展；

8)subjectPublicKeyInfo字段中的signature字段和algorithm字段应包含国家密码行政管理

部门许可的或推荐的算法的OID。

5.1.9.2证书撤销

5.1.9.2.1证书撤销列表审核

发布CRL的PKI系统应验证所有强制性字段的值符合GB/T20518-2006。至少以下字段应被审核：

a)若包含version字段，应为1；

b)若CRL包含关键性的扩展，version字段应出现且为1；

c)若issuer字段为空，CRL应包含一个issuerAltName的关键性扩展；

d)signature和signatureAlgorithm字段应为许可的数字签名算法的OID；

e)thisUpdate应包含本次CRL的发布时间；

f)nextUpdate字段的时间不应早于thisUpdate字段的时间。

5.1.9.2.2OCSP基本响应的审核

GB/T21053—2007

7

发布OCSP响应的PKI系统应验证所有强制性字段的值符合GB/T19713-2005。至少应审核以下

字段：

a)version字段应为0；

b)若issuer字段为空，响应中应包含一个issuerAltName的关键性扩展；

c)signatureAlgorithm字段应为许可的数字签名算法的OID；

d)thisUpdate字段应指出证书状态正确的时间；

e)producedAt字段应指出OCSP响应者发出响应的时间；

f)nextUpdate字段的时间不应早于thisUpdate字段的时间。

5.1.10配置管理

应按GB/T20271-2006中6.1.5.1的要求，在配置管理能力方面实现对版本号等方面的要求。

5.1.11分发和操作

应按GB/T20271-2006中6.1.5.2的要求，从以下方面实现PKI系统的分发和操作：

a)以文档形式提供对PKI系统安全地进行分发的过程，并对安装、生成和启动的过程进行说明，

最终生成安全的配置。文档中所描述的内容应包括：

——提供分发的过程；

——安全启动和操作的过程。

b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，

这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以

功能状态交付；

c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥作用；

d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激

活；

e)指导性文档应同交付的系统软件一起包装，并应有一套规程确保当前送给用户的系统软件是

严格按最新的系统版本来制作的。

5.1.12开发

应按GB/T20271-2006中6.1.5.3的要求，从以下方面进行PKI系统的开发：

a)按非形式化功能说明、描述性高层设计、TSF子集实现、TSF内部结构模块化、描述性低层

设计和非形式化对应性说明的要求，进行PKI系统的开发；

b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，返回状态的检查，中

间结果的检查，合理值输入检查等；

c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门；

d)所有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知客

户；

e)系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式储存，并以书面

形式向客户提供关于软件所有权法律保护的指南。

5.1.13指导性文档

应按GB/T20271-2006中6.1.5.4的要求，从以下方面编制PKI系统的指导性文档：

a)终端用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明

示用户的保护结构，并解释它们的用途和提供有关它们使用的指南；

b)系统用户文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全

设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包

括增加和删除一个用户、改变用户的安全特征等；

c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级

分别提供给终端用户和系统用户。这些文档应为独立的文档，或作为独立的章节插入到终端

GB/T21053—2007

8

用户指南和系统用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应

控制对其的访问。

5.1.14生命周期支持

应按GB/T20271-2006中6.1.5.5的要求，从以下方面实现PKI系统的生命周期支持：

a)按开发者定义生命周期模型进行开发；

b)操作文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否

能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。

5.1.15测试

应按GB/T20271-2006中6.1.5.6的要求，从以下方面对PKI系统进行测试：

a)应通过一般功能测试和相符性独立测试，确认PKI系统的功能与所要求的功能相一致；

b)所有系统的安全特性，应被全面测试。所有发现的漏洞应被改正、消除或使其无效，并在消除

漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞；

c)应提供测试文档，详细描述测试计划、测试过程、测试结果。

5.2第二级

5.2.1概述

第二级的PKI系统，应提供审计能力，所保护的资产价值低，面临的安全威胁小，适用于安全要

求较高的企业级PKI系统。PKI系统面临的风险，应按照GB/T20984—2007进行评估。结构设计上，

PKI系统的CA、RA可不进行明确的分化，但证书资料库应独立设计。RA可全部由CA托管，软件

功能模块可安装在同一台计算机系统上，而数据库系统应有独立的计算环境。第二级PKI系统的安全

要素要求列表见附录A。

5.2.2物理安全

进行PKI系统硬件设备、相关环境和系统安全的设计时，应按照GB/T21052—2007第5章所描述

的要求。

5.2.3角色与责任

开发者应提供PKI系统管理员和操作员的角色定义。

管理员：安装、配置、维护系统；建立和管理用户账户；配置轮廓和审计参数；生成部件密钥；

查看和维护审计日志；执行系统的备份和恢复。本级的PKI系统要求提供审计和系统备份功能，管理

员的职责也相应的多分配审计和系统备份权限。

操作员：签发和撤销证书。

系统应具备使主体与角色相关联的能力，并保证一个身份不应同时具备多个角色的权限。一个人

不应同时拥有多个角色，开发者应在系统设计时对角色的管理进行相关限制。

角色的安全功能管理应按表3中的配置对授权的角色修改安全功能的能力进行限制。

表3授权的角色对于安全功能的管理

功能授权角色

安全审计配置审计参数的权限应仅授予管理员；

变更审计日志签名时间间隔的权限应仅授予管理员。

备份与恢复配置备份参数的权限应仅授予管理员；

初始化备份或恢复功能的权限应仅授予管理员。

证书注册验证证书字段或扩展字段内容正确性的权限应授权给操作员。

若使用自动过程验证证书字段和扩展字段，那么，配置自动过

程的权限应授权给操作员。

数据输入和输出私钥输出应由管理员执行。

证书状态变更的许可只有操作员可配置用于撤消证书的自动过程和相关信息；

只有操作员可配置用于证书挂起的自动过程和相关信息。

GB/T21053—2007

9

PKI系统配置对于PKI系统功能的任何配置权应仅授予管理员。（除了在本标

准中其它地方所定义的分配给其它角色的TSF功能，这一要求

应用于所有的配置变量）

证书轮廓管理更改证书轮廓的权限应仅授予管理员。

撤