【正文】 申請者的身份。PKI系統(tǒng)密鑰恢復應保證密鑰不被未授權的泄露或修改，恢復過程中密鑰應以加密形式存在。CA簽名私鑰恢復需要特定權限的用戶使用存有密鑰信息的部件，在安全可信的環(huán)境中恢復，恢復過程不應危及密鑰信息的安全性，不應暴露簽名私鑰。 PKI系統(tǒng)的文檔中應明確規(guī)定系統(tǒng)密鑰恢復方法。 用戶密鑰恢復用戶密鑰恢復應保證密鑰不被未授權的泄露或修改，恢復過程中密鑰應以加密形式存在。 PKI系統(tǒng)的文檔中應明確規(guī)定用戶密鑰恢復方法。 密鑰歸檔 私鑰歸檔私鑰歸檔中區(qū)分用于簽名的私鑰和用于解密數(shù)據(jù)的私鑰。簽名私鑰不允許被歸檔，用于解密數(shù)據(jù)的私鑰允許被歸檔。私鑰歸檔如備份一樣也保存一份私鑰的拷貝，但用于不同的目的。備份用于系統(tǒng)運作的連續(xù)性，以防意外事故造成的私鑰損壞、丟失、刪除等。而歸檔用于長期的、將來為解密歷史數(shù)據(jù)提供服務。PKI系統(tǒng)的文檔中應明確規(guī)定私鑰歸檔方法。 公鑰歸檔CA、RA、終端用戶或其它系統(tǒng)部件的公鑰都應歸檔，歸檔公鑰為數(shù)字證書從目錄中移除后驗證數(shù)字簽名提供了便利。 PKI系統(tǒng)的文檔中應明確規(guī)定公鑰歸檔方法。 密鑰銷毀 PKI系統(tǒng)密鑰銷毀PKI系統(tǒng)的密鑰銷毀應設置為只有特定權限的人才能執(zhí)行銷毀程序，并保證銷毀過程應是不可逆的。PKI系統(tǒng)提供的銷毀程序可包括：用隨機數(shù)據(jù)覆蓋存儲密鑰的媒介、存儲體，銷毀存儲密鑰的媒介等。PKI系統(tǒng)密鑰銷毀應符合國家密碼行政管理部門對密鑰銷毀的相關規(guī)定。PKI系統(tǒng)的文檔中應明確規(guī)定系統(tǒng)密鑰銷毀方法。 用戶密鑰銷毀終端用戶密鑰的銷毀一般由用戶自己執(zhí)行銷毀程序，并保證銷毀過程應是不可逆的。用戶可執(zhí)行的銷毀程序包括：用隨機數(shù)據(jù)覆蓋存儲密鑰的媒介、存儲體，銷毀存儲密鑰的媒介等。PKI系統(tǒng)的文檔中應明確規(guī)定用戶密鑰銷毀方法。 輪廓管理 證書輪廓管理證書輪廓定義證書中的字段和擴展可能的值，這些字段和擴展應與GB/T 205182006標準相一致。證書輪廓包括的信息有：a) 與密鑰綁定的用戶的標識符；b) 主體的公私密鑰對可使用的加密算法；c) 證書發(fā)布者的標識符；d) 證書有效時間的限定；e) 證書包括的附加信息；f) 證書的主體是否是CA；g) 與證書相對應的私鑰可執(zhí)行的操作；h) 證書發(fā)布所使用的策略。PKI系統(tǒng)應具備證書輪廓，并保證發(fā)布的證書與證書輪廓中的描述一致。PKI系統(tǒng)管理員應為以下字段和擴展指定可能的值：a) 密鑰所有者的標識符；b) 公私密鑰對主體的算法標識符；c) 證書發(fā)布者的標識符；d) 證書的有效期。PKI系統(tǒng)管理員還應為以下的字段和擴展指定可能的取值：a) keyUsage；b) basicConstraints；c) certificatePolicies。管理員還應為證書擴展指定可能的值。 證書撤銷列表輪廓管理證書撤消列表輪廓用于定義CRL中字段和擴展中可接受的值，這些字段和擴展應與GB/T 205182006標準相一致。CRL輪廓可能要定義的值包括：a) CRL可能或者必須包括的擴展和每一擴展的可能的值；b) CRL的發(fā)布者；c) CRL的下次更新日期。若PKI系統(tǒng)發(fā)布CRL，則應具備證書撤銷列表輪廓，并保證發(fā)布的CRL與該輪廓中的規(guī)定相一致。PKI系統(tǒng)管理員應規(guī)定以下字段和擴展的可能的取值:a) issuer；b) issuerAltName；c) NextUpdate。若PKI系統(tǒng)發(fā)布CRL，管理員還應指定CRL和CRL擴展可接受的值。 在線證書狀態(tài)協(xié)議輪廓管理在線證書狀態(tài)協(xié)議輪廓用于定義一系列在OCSP響應中可接受的值。OCSP輪廓應規(guī)定PKI系統(tǒng)可能產(chǎn)生的OCSP響應的類型和這些類型可接受的值。a) 若PKI系統(tǒng)發(fā)布OCSP響應，PKI系統(tǒng)應具備OCSP輪廓并保證OCSP響應與輪廓一致；b) 若PKI系統(tǒng)發(fā)布OCSP響應，PKI系統(tǒng)應要求管理員為responseType字段指定可接受的值；c) 若PKI系統(tǒng)允許使用基本響應類型(basic response type)的OCSP響應，則PKI系統(tǒng)管理員應為ResponderID指定可接受的值。 證書管理 證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應與GB/T 205182006相一致。任何證書所包含的字段或擴展應被PKI系統(tǒng)根據(jù)GB/T 205182006生成或經(jīng)由頒發(fā)機構驗證以保證其與標準的一致性。輸入證書字段和擴展中的數(shù)據(jù)應被批準。證書字段或擴展的值可有以下4種方式獲得批準：a) 數(shù)據(jù)被操作員手工批準；b) 自動過程檢查和批準數(shù)據(jù)；c) 字段或擴展的值由PKI系統(tǒng)自動的生成；d) 字段或擴展的值從證書輪廓中獲得。進行證書生成時，a) 應僅產(chǎn)生與GB/T 205182006中規(guī)定的證書格式相同的證書；b) 應僅生成與現(xiàn)行證書輪廓中定義相符的證書；c) PKI系統(tǒng)應驗證預期的證書主體擁有與證書中包含的公鑰相對應的私鑰，除非公私密鑰對是由PKI系統(tǒng)所產(chǎn)生的；d) PKI系統(tǒng)應保證：1) version字段應為0，1，2；2) 若包含issuerUniqueID或subjectUniqueID字段則version字段應為1或2；3) 若證書包含extensions那么version字段應為2；4) serialNumber字段對CA應是唯一的；5) validity字段應說明不早于當時時間的notBefore值和不早于notBefore時間的notAfter 值；6) 若issuer字段為空證書應包括一個issuerAltName 的關鍵性擴展；7) 若subject字段為空，證書應包括一個subjectAltName的關鍵性擴展；8) subjectPublicKeyInfo字段中的signature字段和algorithm字段應包含國家密碼行政管理部門許可的或推薦的算法的OID。 證書撤銷 證書撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應驗證所有強制性字段的值符合GB/T 205182006。至少以下字段應被審核：a) 若包含version字段，應為1；b) 若CRL包含關鍵性的擴展，version字段應出現(xiàn)且為1；c) 若issuer字段為空，CRL應包含一個issuerAltName的關鍵性擴展；d) signature和signatureAlgorithm字段應為許可的數(shù)字簽名算法的OID；e) thisUpdate應包含本次CRL的發(fā)布時間；f) nextUpdate 字段的時間不應早于thisUpdate字段的時間。 OCSP基本響應的審核發(fā)布OCSP響應的PKI系統(tǒng)應驗證所有強制性字段的值符合GB/T 197132005。至少應審核以下字段：a) version字段應為0；b) 若issuer字段為空，響應中應包含一個issuerAltName的關鍵性擴展；c) signatureAlgorithm字段應為許可的數(shù)字, 簽名算法的OID；d), thisUpdate字段應指出證書狀態(tài)正確的時間；e) producedAt字段應指出OCSP響應者發(fā)出響應的時間；f) nextUpdate 字段的時間不應早于thisUpdate字段的時間。 配置管理應按GB/T ，從以下方面實現(xiàn)PKI系統(tǒng)的配置管理：a) 在配置管理自動化方面要求部分的配置管理自動化；b) 在配置管理能力方面應實現(xiàn)對版本號、配置項、授權控制等方面的要求；c) 在PKI系統(tǒng)的配置管理范圍方面，應將PKI系統(tǒng)的實現(xiàn)表示、設計文檔、測試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下，要求實現(xiàn)對配置管理范圍內(nèi)的問題跟蹤，特別是安全缺陷問題進行跟蹤；d) 在系統(tǒng)的整個生存期，即在它的開發(fā)、測試和維護期間，應有一個軟件配置管理系統(tǒng)處于保持對改變源碼和文件的控制狀態(tài)。只有被授權的代碼和代碼修改才允許被加進已交付的源碼的基本部分。所有改變應被記載和檢查，以確保未危及系統(tǒng)的安全。在軟件配置管理系統(tǒng)中，應包含從源碼產(chǎn)生出系統(tǒng)新版本、鑒定新生成的系統(tǒng)版本和保護源碼免遭未授權修改的工具和規(guī)程。通過技術、物理和保安規(guī)章三方面的結合，可充分保護生成系統(tǒng)所用到的源碼免遭未授權的修改和毀壞。 分發(fā)和操作應按GB/T ，從以下方面實現(xiàn)PKI系統(tǒng)的分發(fā)和操作：a) 以文檔形式提供對PKI系統(tǒng)安全地進行分發(fā)的過程，并對安裝、生成、啟動和修改檢測的過程進行說明，最終生成安全的配置。文檔中所描述的內(nèi)容應包括：——提供分發(fā)的過程；——安全啟動和操作的過程；——建立日志的過程；——修改內(nèi)容的檢測；——對任何安全加強功能在啟動、正常操作維護時能被撤消或修改的闡述；——在故障或硬件、軟件出錯后恢復系統(tǒng)至安全狀態(tài)的規(guī)程；——對含有加強安全性的硬件部件，應說明用戶或自動的診斷測試的操作環(huán)境和使用方法；——所有診斷測試過程中，為加強安全性的硬件部件所提供例證的結果；——在啟動和操作時產(chǎn)生審計蹤跡輸出的例證。b) 對系統(tǒng)的未授權修改的風險，應在交付時控制到最低限度。在包裝及安全分送和安裝過程中，這種控制應采取軟件控制系統(tǒng)的方式，確認安全性會由最終用戶考慮，所有安全機制都應以功能狀態(tài)交付；c) 所有軟件應提供安全安裝默認值，在客戶不做選擇時，默認值應使安全機制有效地發(fā)揮作用；d) 隨同系統(tǒng)交付的全部默認用戶標識碼，應在交付時處于非激活狀態(tài)，并在使用前由管理員激活；e) 指導性文檔應同交付的系統(tǒng)軟件一起包裝，并應有一套規(guī)程確保當前送給用戶的系統(tǒng)軟件是嚴格按最新的系統(tǒng)版本來制作的；f) 以安全方式開發(fā)并交付系統(tǒng)后，仍應提供對產(chǎn)品的長期維護和評估的支持，包括產(chǎn)品中的安全漏洞和現(xiàn)場問題的解決；g) 應采用書面說明的方式向客戶通告新的安全問題；h) 對可能受到威脅的所有的安全問題，均應描述其特點，并作為主要的問題對待，直到它被解決；i) 為了支持已交付的軟件的每個版本，對所有已有的安全漏洞都應有文檔書面說明，并且客戶能在限制的基礎上得到該文檔；j) 對安全漏洞的修改不必等到系統(tǒng)升級到下一個版本。安全功能的增加和改進應獨立于系統(tǒng)版本的升級，也就是說，應存在適應性獨立于系統(tǒng)其它功能的改進；k) 只有經(jīng)過客戶授權，才允許在生產(chǎn)性運行的系統(tǒng)上進行新特性和簡易原型的開發(fā)、測試和安裝；l) 新的版本應避免違反最初的安全策略和設想，也應避免在維護、增加或功能升級中引入安全漏洞，所有功能的改變和安全結構設置的默認值都應作記錄。在新版本交付給客戶使用前，客戶應能得到相應的文檔。 開發(fā)應按GB/T ，從以下方面進行PKI系統(tǒng)的開發(fā)：a) 按非形式化安全策略模型、完全定義的外部接口、安全加強的高層設計、TSF完全實現(xiàn)、TSF內(nèi)部結構層次化、描述性低層設計和非形式化對應性說明的要求，進行PKI系統(tǒng)的開發(fā)；b) 系統(tǒng)的設計和開發(fā)應保護數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，返回狀態(tài)的檢查，中間結果的檢查，合理值輸入檢查等；c) 在內(nèi)部代碼檢查時，應解決潛在的安全缺陷，關閉或取消所有的后門；d) 所有交付的軟件和文檔，應進行關于安全缺陷的定期的和書面的檢查，并將檢查結果告知客戶；e) 系統(tǒng)控制數(shù)據(jù)，如口令和密鑰，不應在未受保護的程序或文檔中以明文形式儲存，并以書面形式向客戶提供關于軟件所有權法律保護的指南；f) 在PKI系統(tǒng)開發(fā)的敏感階段，應保持一個安全環(huán)境，該安全環(huán)境要求：——描述PKI系統(tǒng)開發(fā)所使用的計算機系統(tǒng)的安全使用和維護情況的安全策略和措施應有書面記載，并可供檢查；——系統(tǒng)開發(fā)過程中使用的所有計算機系統(tǒng)應接受定期的和有書面記載的內(nèi)部安全審計，描述審計過程的文件和真實的審計報告應可供檢查；——除授權的分發(fā)機構外，不應在開發(fā)環(huán)境外部復制或分發(fā)內(nèi)部文檔；——開發(fā)環(huán)境的計算機系統(tǒng)使用的所有軟件應合法地從確定的渠道獲得；——開發(fā)者個人獨自開發(fā)的軟件，應在被開發(fā)管理者審核后才能用于開發(fā)的系統(tǒng)。 指導性文檔應按GB/T ，從以下方面編制PKI系統(tǒng)的指導性文檔：a) 應通過提供指導性文檔，將如何安全使用和維護PKI系統(tǒng)的信息交付給系統(tǒng)的終端用戶和系統(tǒng)用戶。對文檔的總體要求是：——應對所有的安全訪問和相關過程、特權、功能等適當?shù)墓芾砑右躁U述；——應闡述安全管理和安全服務的交互，并提供指導；——應詳細給出每種審計事件的審計記錄的結構，以便考察和維護審計文件和進程；——應提供一個準則集用于保證附加的說明的一致性不受破壞。b) 系統(tǒng)用戶文檔應提供系統(tǒng)用戶了解如何用安全的方式管理系統(tǒng)，除了給出一般的安全忠告，還應明確：——在系統(tǒng)用安全的方法設置時，圍繞管理員、操作員、審計員和安全員、主體和客體的屬性等，應如何安裝或終止安裝；——在系統(tǒng)的生命周期內(nèi)如何用安全的方法維護系統(tǒng)，包括為了防止系統(tǒng)被破壞而進行的每天、每周、每月的安全常規(guī)備份等；——如何用安全的方法重建PKI系統(tǒng)的方法；——說明審計跟蹤機制，使系統(tǒng)用戶可有效地使用審計跟蹤來執(zhí)行本地的安全策略；——必要時，如何調(diào)整系統(tǒng)的安全默認配置。c) 終端用戶文檔應提供關于不同用戶的可見的安全機制以及如何利用它們的信息，描述沒有明示用戶的保護結構，并解釋它們的用途和提供有關它們使用的指南；d) 系統(tǒng)用戶文檔應提供有關如何設置、維護和分析系統(tǒng)安全的詳細指導，包括當運行一個安全設備時，需要控制的有關功能和特權的警告，以及與安全有關的管理員功能的詳細描述，包括增加和刪除一個用戶、改變用戶的安全特征等；e) 文檔中不應提供任何一旦泄露將會危及系統(tǒng)安全的信息。有關安全的指