1、ICS 3524080C 07 园园中华人民共和国国家标准化指导性技术文件GBZ 2171632008健康信息学 公钥基础设施(PKI)第3部分:认证机构的策略管理Health informatics-Public key infrastructure(PKI)一Part 3:Policy management of certification authority2008-041 1发布宰瞀粥紫瓣警糌赞星发布中国国家标准化管理委员会“1”目 次前言引言1范围-2规范性引用文件3术语和定义4缩略语5在医疗保健语境中数字证书策略管理的要求51概述-52高层的保证要求53基础设施可用性的高层要求54
2、高层的信任要求55互联网兼容性的要求56便于评估和比较CP的要求6医疗保健cP和CPS的结构61 CP的一般要求62 CPS的一般要求63 CP和CPS问的关系64适用性7医疗保健CP的最小要求71 一般要求72发布和存储责任73标识和鉴别74证书生命周期操作请求75物理控制76技术方面的安全控制77证书、CRL和OCSP轮廓78符合性审计79其他业务和法律问题8 PKI公开声明模型81概述82 PKI公开声明的结构参考文献GBZ 2171632008222222233344447地毖毖毖肌刖 置GBZ 2171632008GBZ 21716健康信息学公钥基础设施(PKI)分为3个部分:第1部
3、分:数字证书服务综述;第2部分:证书轮廓;第3部分:认证机构的策略管理。本部分为GBZ 21 716的第3部分。本部分是参照ISO 170903DIS:2006健康信息学公钥基础设施(PKI)第3部分:认证机构的策略管理而制定的。本部分由中国标准化研究院提出。本部分由中国标准化研究院归口。本部分起草单位:中国标准化研究院、中国人民解放军总医院、中国人民武装警察部队指挥学院。本部分主要起草人:陈煌、任冠华、董连续、刘碧松、尹岭、韵力宇。山GSZ 2171632008引 言为了降低费用和成本,卫生行业正面l临着从纸质处理向自动化电子处理转变的挑战。新的医疗保健模式增加了对专业医疗保健提供者之间和突
4、破传统机构界限来共享患者信息的需求。一般来说,每个公民的健康信息都可以通过电子邮件、远程数据库访问、电子数据交换以及其他应用来进行交换。互联网提供了经济且便于访问的信息交换方式,但它也是一个不安全的媒介,这就要求采取一定的措施来保护信息的保密性和保密性。未经授权的访问无论是有意的还是无意的,都会增加对健康信息安全的威胁。医疗保健系统有必要使用可靠信息安全服务来降低未经授权访问的风险。卫生行业如何以一种经济实用的方式来对互联网中传输的数据进行适当的保护?针对这个问题,目前人们正在尝试利用公钥基础设施(PKI)和数字证书技术来应对这一挑战。正确配置数字证书要求将技术、策略和管理过程绑定在一起,利用
5、“公钥密码算法”来保护信息,利用“证书”来确认个人或实体的身份,从而实现在不安全的环境中对敏感数据的安全交换。在曩生领域中,这种技术使用鉴别、加密和数字签名等方法来保证对个人健康记录的安全访问和传输,以满足临床和管理方面的需要。通过数字证书配置所提供的服务(包括加密、信息完整性和数字签名)能够解决很多安全问题。为此,世界上许多组织已经开始使用数字证书。比较典型的一种情况就是将数字证书与一个公认的信息安全标准联合使用。如果健康应用需要在不同组织或不同辖区之间(如为同一个患者提供服务的医院和社区医生之问)交换信息,则数字证书技术及其支撑策略、程序、操作的互操作性是最重要的。实现不同数字证书实施之间
6、的互操作性需要建立一一个信任框架。在这个框架下,负责保护个人信息权利的各方要依赖于具体的策略和操作,甚至还要依赖于由其他已有机构发行的数字证书的有效性。许多国家正在采用数字证书来支持国内的安全通信。如果标准的制定活动仅仅局限于国家内部,则不同国家之间的认证机构(CA)和注册机构(RA)在策略和程序上将产生不一致甚至矛盾的地方。数字证书有很多方面并不专门用于医疗保健,它们目前仍处于发展阶段。此外,一些重要的标准化工作以及立法支持工作也正在进行当中。另一方面,很多国家的医疗保健提供者正在使用或准备使用数字证书。因此,本指导性技术文件的目的是为这些迅速发展的国际应用提供指导。本指导性技术文件描述了一
7、般性技术、操作以及策略方面的需求,以便能够使用数字证书来保护健康信息在领域内部、不同领域之间以及不同辖区之间进行交换。本指导性技术文件的最终目的是要建立一个能够实现全球互操作的平台。本指导性技术文件主要支持使用数字证书的跨国通信,但也为配置国家性或区域性的医疗保健数字证书提供指导。互联网作为传输媒介正越来越多地被用于在医疗保健组织间传递健康数据,它也是实现跨国通信的唯一选择。本指导性技术文件的三个部分作为一个整体定义了在卫生行业中如何使用数字证书提供安全服务,包括鉴别、保密性、数据完整性以及支持数字签名质量的技术能力。本指导性技术文件第1部分规定了卫生领域中使用数字证书的基本概念,并给出了使用
8、数字证书进行健康信息安全通信所需的互操作方案。本指导性技术文件第2部分给出了基于国际标准X509的数字证书的健康专用轮廓以及用于不同证书类型的IETFRFC 3280中规定的医疗保健轮廓。本指导性技术文件第3部分用于解决与实施和使用医疗保健数字证书相关的管理问题,规定了证书策略(CP)的结构和最低要求以及关联认证操作声明的结构。该部分以IETFRFC 3647的片其关建议为基础,确定了在健康跨国通信的安全策略中所需的原则,还规定了健康方面所需的最低级别的安全性。iv健康信息学公钥基础设施(PKI)第3部分:认证机构的策略管理GBZ 21716320081范围本部分为在医疗保健过程中包括配置使用
9、数字证书在内的证书管理问题提供了指南。它规定了证书策略的结构和最低要求,包括认证实施声明的结构等。它还给出了为实现跨国界通信所需的医疗保健安全策略的基本原则,以及专门针对医疗保健方面的安全要求的最小级别。2规范性引用文件下列文件中的条款通过GBZ 21716-_2008的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 1 971 6 2005信息技术信息安全管理实用规则GBZ 21 7161 2008健
10、康信息学公钥基础设施(PKI)第1部分:数字证书服务综述GBZ 217162 2008健康信息学公钥基础设施(PKI)第2部分:证书轮廓IETFRFC 3647:2003 Internct X509公钥基础设施证书策略和认证实施框架3术语和定义GBZ 21 71 61给出的术语和定义适用于本部分。4缩略语下列缩略语适用于本部分。AA 属性机构attribute authorityCA认证机构 certification authorityCP证书策略certificate policyCPS认证操作声明certification practice statementCRL证书撤销列表certi
11、ficate revocation listOID对象标识符object identifierPKC公钥证书public key certificatePKI公钥基础设施public key infrastructureRA注册机构registration authorityTTP 可信第三方trusted third party5在医疗保健语境中数字证书策略管理的要求51概述在医疗保健语境中部署数字证书必须实现下列目标,以便有效保障个人健康信息通信的安全性:a)对于参与进行个人健康信息的电子交换过程中所有人员、机构、应用软件,设备等,必须与唯一的和容易区分的名称安全可靠地绑定。1GBZ 21
12、71632008b)对于参与进行个人健康信息的电子交换过程中所有人员、机构、应用软件、设备等,必须有专业角色安全可靠地与之绑定。做这种绑定是为实现对这些健康信息进行基于角色的访问控制打下基础。c) (可选的)对于参与进行个人健康信息的电子交换过程中所有人员、机构、应用软件、设备等,应有相应的属性安全可靠地与之绑定。做这种绑定是为了进一步保障健康信息的安全通信。完成上述El标是为了保证个人健康信息的完整性和保密性,并达到信任的使用数字证书来安全地进行通信的目的。为此,每个发行用于医疗保健方而数字证书的CA应该为之提出一套促进实现上述目标的公开策略,并按照这个声明策略进行操作。52高层的保证要求用
13、于健康应用软件所需的安全服务在GBZ 217161 2008中第6章有相关规定。对于其中每个安全服务(鉴别、完整性、机密性、数字签名、授权、访问控制等),需要有一个高层的保证。53基础设施可用性的高层要求急诊服务是一个全天候的任务,要求具有能不受正常工作时间限制地随时进行证书获取、证书撤销、验证撤销状态等能力。与电子商务不同,医疗保健对任何电子证书都提出了高可用性要求,这样才能确保个人健康信息通信的安全性。54高层的信任要求与电子商务不同(此时买方和消费者常常是电子交换中仅有的参与方,以及由此产生安全性和完整性),存储或传输个人健康信息的医疗保健应用在交换患者的信息时还要求经过患者(包括普通公
14、众)的授信。如果大家认为个人健康信息的电子交换是不安全的,则医疗保健提供者或者患者都不会在此方而提供合作。55互联网兼容性的要求本部分的目的之一是定义医疗保健数字证书的基本元素以支持跨国家和区域界限安全传输医疗保健信息,它基于众多的互联网标准以便有效的跨越这些边界。56便于评估和比较CP的要求GBZ 2171612008的92中描述了使用数字证书来促进健康信息跨国的安全交换的相关步骤。如果医疗保健CP遵循统一的格式,则可以对不同来源的CP进行比较,这样就更进一步促进了上述步骤(如交叉识别和交叉认证)。医疗保健CP是形成对CA信任的基础之一(受信任的CA支持一个或多个CP得到实施)。当信任标准超
15、出本指导性技术文件的范围时,对医疗保健CA的信任的整个过程将通过格式一致性和本指导性技术文件所提出的最低标准而得到加速。6医疗保健CP和CPS的结构61 CP的一般要求当一个CA签发了一个证书时,它给了可依赖方一个声明表示已经给专门的证书持有者绑定了一个专门的公共密钥。不同的证书在签发时经历了不同的操作和程序,并适用于不同的应用产品和或目的。CA应负责对证书的签发、管理的各个方面,包括对注册过程的控制、证书中信息的确认以及对证书的制作、发放、撤销、暂停和更新等。CA还应负责确保CA服务和执行操作的各个方面都与对应CP的需求、表示、被担保人以及CA的CPS一致。签发用于医疗保健的电子证书的CA在
16、他们所提供服务方面应有相应的政策和程序。这些政策和程序应包括:2GBZ 2171632008a)在证书签发前注册潜在的证书持有者,包括符合GBZ 217162 2008第6章的证书持有者角色;b) 在证书签发前鉴别潜在证书持有者的身份;c)证书签发出去后,对证书的持有者的个人信息保密;d) 把证书分发给证书持有者和有关名录;e) 接受关于可能出现的私有密钥协议的信息;f) 发布证书撤销列表(发布的频率,如何以及何地发布);g)其他的密钥管理问题,包括密钥长度、密钥产生过程、证书的预期使用期限、重设密钥等;h)与其他cA的交叉证明;i)安全控制和审计。为了实现这些功能,本基础设施中各CA都需要提
17、供为其证书持有者和可依赖方提供一些基础服务。这些CA服务要在其CP中列出。数字证书包含个或多个经过注册的CP OID,它标识了证书在签发时所遵循的CP,并可用于判断一个用于特定目标的证书是否可信。其中注册过程遵循相关ISOIEC和ITu标准所规定的程序。注册OID的一方也需要发布CP供证书持有者和可依赖方进行检验。因为在PKC中建立信任时CP的重要性,所以CP不仅能被证书持有者也能被可依赖方所理解和参考是基本的要求。因此,证书持有者和可依赖方在证书签发后应能完全而可靠的访问到其CP。符合本部分规定的所有CP应满足下列需求:a)每个符合本部分规定的电子证书签发时,应至少包含一个经注册的CP OI
18、D,它标识了证书在签发时所遵循的CP;b)CP的结构应符合IETFRFC 3647;c)CP应能被证书持有者和可依赖方访问到。虽然CP和CPS文档的本质是描述和控制CP及其实施,但是许多数字证书持有者特别是消费者发现这些文档难以理解。这些证书持有者和其他可依赖方可以通过从访问CP元素的简要声明中受益,其中用于此目的所需的重点、公示和PKI公示声明模型在本部分的第8章给出。62 CPS的一般要求CPS是对准确实施所提供的服务、证书生命周期管理详细过程等细节的完整描述,它一般比相关的CP要详细得多。符合本部分规定的所有CPS应满足下列需求:a)CPS应符合IETFRFC 3647;b)拥有单个CP
19、S的CA可以支持多个CP(用于不同的应用目的和或被不同团体的可依赖方使用);c)所带CPS不完全相同的CA可以支持相同的CP;d)一个CA可以选择让其CPS对证书持有者或可依赖方是不可访问的,或者选择让其CPS只是部分可访问。63 CP和CPS间的关系CP声明了在一个证书中放置了何种担保(包括证书使用上的限制以及可靠性的限制范围等)。CPS声明了CA是如何建立该担保的。CP可广泛应用到不止一个机构上,而CPS只能应用于单个CA。CP作为一种媒介提供服务,它形成了普通互操作标准和普通行业范围(或者可能是全球范围)担保标准的基础。但单个具体的CP不能单独形成不同CA间互操作性的基础。64适用性本部
20、分适用于CP和CPS用在GgZ 217162 2008第4章所规范的签发医疗保健证书的方而。3cBz 21716320087医疗保健cP的最小要求71一般要求符合本部分规范的cP应满足本章中的以下所有要求。本章中各条标题下括号中的数字对应的是IETFRFC 3647中的章条号。72发布和存储责任721存储库(21)保留在RA或CA存储库中关于证书持有者的信息应是:a)保持当前F1期并更新日期(变化被验证的一天之内甚至更早,根据具体情况而定);b)按照GBT 19716 2005的规范,或经认可的授权,或执照许可规范进行管理。722证书信息的发布(22)所有发布用于卫生领域电子证书的CA应让他们
21、的证书持有者和可依赖方获得下列内容:a) 代表该CA或由该CA维护的有效网址的URL,且该网址包含着该CA的证书策略;b)按照其证书策略来签发或更新每个证书;c) 在该策略下每个证书的当前状态;d) CA进行合格认定或发布许可时所遵循的准则,其中这些认定或许口I应用往不同的权限中。被CA授权的代表电子签名的CP文件的电子拷贝应可由下列情况获得:a)放在所有可依赖方都可访问的网址上,或者b)通过电子邮件请求得到。由于CPS详细描述了一个CA服务和密钥生命周期管理程序的具体实施,而且比CP更详细,冈此它所包含的信息应保持更高的保密性以保证CA的安全。723发布的频率(23)每当信息被修改后,CA就
22、应发布信息。724对存储库的访问控制(24)已发布的信息如政策、实践、证书)以及这些证书的当前状态应是只读的。73标识和鉴别731初始注册7311名称类型(311)用于在该策略下所发布证书的主题名称应符合GBZ 217162。7312名称应有含义(31Z)证书的有效使用需要有相关的特定名称显示在证书上且能被可依赖方所理解和使用。这些证书中所使用的名称应能标识出证书持有者以便他们能以有含义的方式被分配,见7313。对于证书持有者是正规健康专业人员、非正规健康专业人员、受委托医疗保健提供者、支持组织雇员或患者消费者的情况,其名称应符合732所鉴别的名称。7313匿名或假名(313)名称应有含义的要
23、求(见7312),并不排除在发给患者消费者的证书中使用假名。4GBZ 21716320087314对各种名称形式进行解释的规则(314)CP应有一个可对名称进行申请、辩论、决议的程序,以及应有一个协定以便能对当发起名称申请辩论时所用的名称形式进行解释。7315名称的唯一性(315)证书中列出的主体识别名对于CA的不同证书持有者都应是无歧义的和唯一的。如有必要,在识别名中(如IETF RFC 3280所述)包含识别名属性“序列号”可以用来保障唯一性。如有可能,建议该序列号是有含义的(如正规健康专业人员的执照号)。参见本部分的7312。7316商标的识别、鉴别和角色(316)CA不应在明知商标不属
24、于证书的主题范围的情况下发布包含该商标的证书。732初始身份确认7321 私钥拥有权的证明方法(321)在CA设有生成密钥对的情况下,密钥持有者需要其对私钥的所有权进行证明(如通过密钥持有者提交证书签名请求(CSR)的方法)。也可要求密钥持有者定期对发自CA的质询进行签名。7322组织身份的鉴别(322)医疗保健组织、支持组织或代表组织或设备利益的个人应通过提交与其国家、省市自治区相对应的文件来向RA证明其真实性和医疗保健角色。CA、RA以及(如果合适的话)AA应验证j二述信息,以及进行该请求的代表的真实性,并授权该代表在活动时使用该组织的名称。7323个人身份的鉴别(323)包括正规健康专业
25、人员、非正规健康专业人员、受委托医疗保健提供者、支持组织雇员以及患者消费者在内的个人应在发行证书前向RA鉴别其身份。本部分建议应提供与签发护照给个人时所需的相同证明以及实施与之一样严格的程序。正规健康专业人员,为了鉴别他们的医疗保健执照、角色以及医疗专业(如果有的话),应向RA提供由相关专业协调或认可团体在其权限内为该人员建立的专业证书等证明。非正规健康专业人员,为了确立其职业关系并鉴别其医疗保健角色,应向RA提供由其委托健康组织或委托(正规)健康专业人员给出的委托关系或雇佣关系的证明。受委托医疗保健提供者,为了确立他们在其医疗保健社区中的活动以及鉴别其医疗保健角色,应向RA提供由其委托健康组
26、织或委托(正规)健康专业人员给出的委托关系或雇佣关系的证明。支持组织雇员,为了确立其职业关系并鉴别其医疗保健角色,应向RA提供由其支持健康组织给出的雇佣关系的证明。7324未经验证的证书预订者信息(324)未经验证的证书预订者信息应符合IETFRFC 3647:2003中324的规定。7325授权机构的确认(325)授权机构的确认应符合IETFRFC 3647:2003中325的规定。GBZ 21716320087326互操作的标准(326)互操作的准则应符合IETFRFC 3647:2003中326以及GBZ 217162的规定。733萱建密钥请求的标识和鉴别7331 日常重建密钥的标识和鉴
27、别(331)73311 CA日常重建密钥应基于在创建时原始记录所用的原始文件来实施CA证书的只常重建密钥或重新发布证书。73312 RA日常重建密钥应基于在创建原始记录时所用的原始文件来实施RA证书的日常重建密钥或重新发布证书。73313证书持有者日常重建密钥应通过重新引用在创建原始记录时所用的原始文件或记录(包括相信当前还未过期的有效密钥)来实施证书持有者信息的日常重建密钥或重新发布证书。如果原始文件已失效或被废弃,可以使用其替代文件。7332在撤销后重建密钥(332)73321在撤销后CA重建密钥在证书被撤销后对信息重建密钥时,应要求再次提供用于最初给CA授权的原始信息。73322在撤销后
28、RA重建密钥在证书被撤销后对信息重建密钥时,应要求再次提供用于最初给RA授权的原始信息。73323在撤销后证书持有者重建密钥进行证书持有者信息的日常重建密钥时,应提供原始记录被创建时的原始文件,或者引用所使用的原始记录。如果原始文件已失效或被遗弃,可以使用其替代文件。734用于撤销请求的标识和鉴别(34)7341 CA当一个CA按照医疗保健CP向另一个CA发出一个撤销请求时,该CA应:a)标识该证书;b)指明该证书被撤销的原因;c) 用其私钥对该请求进行签名,加密该消息并将其发送给相关领域的CA。7342 RA当RA对于按照医疗保健CP签发的数字证书向证书权威机构发出一个撤销请求时,该RA应:
29、a) 对请求撤销的证书进行标识;b)指明该证书撤销的原因;c) 用其私钥对该请求进行签名,加密该消息并将其发送给相关领域的CA。7343证书持有者持有按医疗保健CP签发的数字证书的证书持有者,当向证书权威机构发出一个撤销请求时,该证书持有者应:a) 对请求撤销的证书进行标识;b)指明该证书撤销的原因;c)向该相关领域CA安全地发送该撤销请求。如果包含私钥的令牌出现丢失或被盗(并且该证书持有者因此而不能发起经过数字签名的撤销请求),该撤销请求应附有最初用于包含该证书的同等身份证据。6GBZ 217163200874证书生命周期操作请求741证书申请7411证书申请提交者(411)确定证书申请提交
30、者的准则应按照IETFRFC 3647:2003中的411的规定。7412登记程序和职责(41I 2)CA可以将标识和鉴别功能委派给一个RA,并由其负责。医疗保健组织RA的主要功能是在最初注册时验证证书持有者的身份及其医疗保健角色。RA应使用与cA相同的一套鉴别方法和规则。RA可以看做是单独授信、独立的特殊CA。为了保证证书及其中包含的公钥的真实性和完整性,证书持有者应让可信的发起者来创建他们的证书。由于RA是替CA执行鉴别功能,所以应授信他们去遵循CA的证书持有者鉴别策略并将正确证书持有者信息传递给CA。同样,应授信RA以准确、及时的方式把证书撤销请求传递给CA。建议RA独立负责地代理CA进
31、行相关活动。RA应:a) 如果RA实时履行其职责则RA应保证其签名的私钥仅用于对证书请求、撤销请求以及证书持有者其他经鉴别的通信进行签名;b) 向CA证明其已鉴别了证书持有者的身份;c)安全地传输和存储证书申请信息以及注册记录;d)按照7342的规定(在适当的地方)发起撤销请求。在配置了数字证书的卫生领域中的证书持有者,应接受证书并保证在证书申请巾所表达信息的准确性,以及承认证书中所包含的所有信息都是正确的。742证书申请处理7421执行标识和鉴别功能(421)执行标识和鉴别功能的准则应按照IETFRFc 3647:2003中421的规定。7422证书申请的批准或拒绝(422)批准或拒绝证书申
32、请的准则应按照IETFRFC 3647:2003中422的规定。7423处理证书申请的时间(423)建议CA规定一个证书持有者在证书签发处理开始后必须完成其关键处理活动的最短时间期限。743证书签发7431证书签发过程中CA的行为(431)证书重建密钥的程序应符合1ETFRFC 3647:2003中47的规定。7432签发证书的CA给证书持有者的通知(432)当具有证书持有者识别名的证书被签发时,进行证书签发的CA应通知对应的每个证书持有者。744证书接受7441构成证书接受的行为(441)在配置了数字证书的卫生领域中的证书持有者,应:7GBZ 2171632008a) 阅读以简单语言清楚描述
33、r证书持有者责任的CP或PKI公开文件;b)正式同意已签名的持有者协议中的相关义务。7442 CA的证书发布(442)规定见722。7443 CA给其他实体的签发证书通知(443)CA给其他实体的签发证书通知的准则应符合IETFRFC 3647:2003中443的规定。745密钥对和证书的使用7451 证书持有者私钥和证书的使用(451)在配置了数字证书的卫生领域中的证书持有者,应:a)保护自己的私钥和密钥令牌(如果有的话),并用合理的方法保护它们不被丢失、泄密、修改或非授权使用;b)尽各种可能去保护其私钥不被丢失、泄密或非授权使用;c)对于任何已出现的或怀疑出现的包括丢失、泄密在内的危及其私
34、钥安全的情况,立即通知给CA和或RA;d) 在医疗保健组织中,对于证书信息、角色或状态的任何修改,都应通知RA和或CA;e)使用符合CP的公钥对。建议医疗保健数字证书的证书持有者还能证明其接受了适用于使用证书的健康信息功能的安全培训。7452可依赖方公钥和证书的使用(452)只有在下列情况下,可依赖方才有权依赖于医疗保健证书:a) 证书的使用目的适合于本策略;b)此种信赖是合理的,且在信赖时是忠实地以可依赖方所知的详情为依据的;c) 可依赖方通过检查证书没有被撤销或被暂停来确认该证书当前的有效性;d)如果可能的话,可依赖方确认数字签名的当前有效性;c)对责任和担保的适当限制是众所周知的。746
35、证书更新(46)签发方CA应确保证书更新的任何程序都与其CP相关的规定一致。7461证书更新的环境(461)证书更新的具体环境应符合IETFRFc 3647:2003中461的规定。7462需要更新的相关方(462)确定需要更新准则的各相关方时应符合IETFRFC 3647:2003中462的规定。7463处理证书更新请求(463)处理证书更新请求的准则应符合IETFRFc 3647:2003中463的规定。7464通知证书更新对应的证书持有者(464)当更新带有证书持有者识别名的证书时,签发方CA应通知到每一个相关的证书持有者。8GBZ 21716320087465构成接受更新证书的行为(4
36、65)构成接受更新证书的行为应符合7441中的规定。7466 CA发布更新后的证书(466)规定见722。7467 CA给其他实体的发布更新的通知(467)规定见7443。747证书重建密钥(47)证书重建密钥的程序应符合733的规定。748证书修改7481证书修改的环境(481)下列情况下,作为签发方的CA应修改证书:a) 如果证书中的相关主题信息不再正确;b) 如果证书持有者的组织关系改变,例如一个正规健康专业人员从某个特定的组织辞职c)不管何种原因,只要证书持有者或者受委托医疗保健提供者的委托方提出请求。如果意识到证书中的丰题信息不正确,证书持有者、RA以及委托方有责任通知CA。7482
37、证书修改请求者(482)应由下列一方或多方来提出修改证书的请求:a) 证书持有者,其中证书以该证书持有者的名称签发的;b)代表设备或应用一方实施证书的个人或组织;c) 证书持有者是整个健康专业人员的健康专业人员注册组织或发照组织;d)受委托医疗保健提供者的委托方;e)签发方CA的工作人员;f)与签发方CA相关的RA的工作人员。7483处理证书修改请求(483)处理证书修改请求的准则应符合IETFRFc 3647:2003中483的规定。7484通知证书持有者有关修改证书的事宜(484)通知证书持有者有关修改证书发布的事宜应符合7432中的规定。7485构成接受修改后的证书的行为(485)构成接
38、受修改后的证书的有关行为应符合7441中的规定。7486公布由CA修改的证书(486)公布由CA修改的证书其准则应符合7442中的规定。GBZ 21716320087487 CA通知其他实体有关修改证书的事宜(487)CA通知其他实体有关修改证书的事宜时应符合7443中的规定。749证书撤销和暂停(49)RA能有助于处理证书撤销请求。在一些健康数字证书的具体实施中,RA可用来发起或鉴别证书撤销请求。在适当的情况下,他们应把鉴别好的请求传递给合适的CA。RA本身可以发起一个撤销请求(例如,假设一个正规健康专业人员因为行为不当而被暂停工作,此时RA正好是其一个健康专业注册组织或发照组织)。不管怎样
39、,此时RA有责任去鉴别该报告。如果(通过应用与CA所用过的相同标准)RA认为该报告是可信的。该RA应安全的向CA发送一个含有证书标识信息的消息,并(此项为可选行为)陈述撤销该证书的理由。建议在证书中定义的CRI,分布点的地址应符合本部分GBZ 217162 2008中728的规定。7491撤销的环境(491)针对F列情况,签发方CA应撤销证书:a)证书持有者、雇主(对于非正规健康专业人员或支持组织雇员而言)或委托方(对于受委托医疗保健提供者而言)没有在本策略、各可用CPS或其他协议、法规和对于证书有强制性的法律下履行好义务;b)得知或有理由怀疑私钥的安全受到威胁;c) 证书巾的相关主题信息不再
40、正确;d)证书持有者的组织关系发生改变,例如一个正规健康专业人员从某个特定的组织辞职;c) 由于不符合本策略和或任何可用的CPS,CA认为该证书未被正确的签发;f) 不管何种原因,只要证书持有者或者受委托医疗保健提供者的委托方提出了请求。如果意识到证书中的主题信息不正确,证书持有者、RA以及委托方有责任通知CA。7492请求撤销者(492)应由下列一方或多方来提出撤销证书的请求:a) 证书持有者,其中证书以该证书持有者的名称签发的;b)代表设备或应用一方实施证书的个人或组织;c)受委托医疗保健提供者的委托方;d)签发方CA的工作人员;e)与签发方CA相关的RA的工作人员。7493请求撤销的程序
41、(493)按照734的要求CA收到一个撤销请求时,该CA应:a) 确认该请求撤销的实体是该要求被撤销的证书中所列的证书持有者;b)如果请求者是该证书持有者的代理,则该请求者有足够的权力进行撤销请求;c) 验证请求撤销的理由,如果证明理由真实,则撤销该证书。7494撤销请求的期限(494)在收到证书撤销的请求后应立即采取行动以给出相关结果。1 0GBZ 2171632008749,5 CA必须处理撤销请求的时间期限(495)在收到请求后CA应立即发起撤销证书的相关行动。7496为可依赖方检查撤销请求(496)无论何时只要可依赖方使用其他实体的公钥,可依赖方都应检查该CRL。应至少每天检查一次该C
42、RL以便了解撤销的情况。7497 CRL的发布频率(497)无论何时只要CRL发生改变,关于撤销的通知应(在发布的当天)及时迅速地发出并更新。7498 CRL的最大有效期(498)CRl,最大有效期的准则应符合IETFRFC 3647:2003中498的规定。7499检查在线撤销状态的可用性(499)CA应使它的撤销状态检查服务(如CRL或OCSP)对于匹配其可依赖方的业务时问是可用的。74910对检查在线撤销的请求(4910)在线撤销的检查(如通过OCSP)将要求证书持有者建立与在线证书状态检查服务器之问的安全通信,其中该在线证书状态检查服务器具有对响应进行的签名的能力。它可以是CA。通过这
43、种方式,CA的真实性将得到验证。也有可能使用确认的权威机构或外界供应的目录而不是签发方CA。74911 其他公告撤销的有效形式(4911)当包含着证书持有者识别名的证书被撤销时,发行方CA应通知所有相应的证书持有者(应向代表设备或应用证书一方的负责人或组织发出通知)。74912鉴于密钥安全受到威胁时的特殊要求(4912)在CA签发密钥时受到安全威胁的情况下,CA应立即将情况通知给共同签发交叉证书或从属CA证书的相关方。74913暂停的环境(4913)在一个卫生领域CP中,CA应支持暂停功能。下列经过标识的环境将表明证书暂停是需要的:a) 怀疑私钥的安全受到威胁,此时在调查过程中暂停将发生;b)
44、 有关于证书的未澄清的信息;c)证书持有者请求暂停;d) 在本地医疗保健数字证书领域范围的其他决定性环境。74914请求暂停者(4914)在CA支持暂停的地方,证书的暂停应由下列一个或多个来提出请求:a)证书签发时使用的是其名称的证书持有者;b) 代表设备或应用一方实施证书的个人或组织;c)受委托医疗保健提供者的委托方;d)签发方CA的工作人员;11GBZ 2171632008e)与签发方CA相关的RA的工作人员;f)可依赖方。74915暂停证书的程序(491 5)按照74914和74915的要求CA收到一个撤销请求时,该CA应:a) 确认该请求者的身份,此时暂停请求声称是来自证书持有者、代表
45、设备或应用一方实施证书的个人或组织,或者受委托医疗保健提供者的委托方的;b)确认该请求者的身份,此时暂停请求声称是来自代表设备或应用一方实施证书的个人或组织;c) 如果请求者是证书持有者的委托方身份,则确认请求者有足够的权力要求暂停;d)验证请求暂停的理由,如果证明理由真实,则暂停该证书。74916暂停期限(491 6)证书的暂停期应限制在相关调查(如验证信息)所需的时间范围L。建议暂停期不超过lo个工作日。74917证书暂停的通知(4917)当带有证书持有者识别名的证书被暂停时,签发方CA应通知到这些证书的所有持有者(通知应发给代表设备或应用证书一方的负责人或组织)。7410证书状态服务74
46、101运行特征(4101)运行特征的准则应符合IETFRFC 3647:2003中4101的规定。74102服务的可用性(d102)CA应使它的状态检查服务对于匹配其可依赖方的业务时间是可用的。74103操作特点(4103)操作特点的准则应符合IETFRFC 3647:2003中4103的规定。7411订阅的终止(411)订阅终止的准则应符合IETFRFC 3647:2003中41011的规定。7412私钥的第三者保管(412)用于鉴别的私钥以及数字证书都不应由第三者保管,除非有法律的特殊要求。75物理控制(5)751概述物理、程序和人员上的安全控制应符合GBT 19716 2005(或其等效标准)的规定,或者符合经认可的规范或许可标准的规定。752物理控制(51)物理控制应符合GBT 19716
