健康信息學(xué) 公鑰基礎(chǔ)設(shè)施 第2部分：證書輪廓 征求意見(jiàn)稿

GB/T21716.2—XXXX/ISO17090-2:20151健康信息學(xué)公鑰基礎(chǔ)設(shè)施第2部分：證書輪廓本文件規(guī)定了在單獨(dú)組織內(nèi)部、不同組織之間和跨越管轄界限時(shí)醫(yī)療保健信息交換所需要的證書本文件適用于健康信息安全人員、專門從事健GB/Z21716.1健康信息學(xué)公鑰基礎(chǔ)設(shè)施第1部分：數(shù)字證書服務(wù)GB/Z21716.3健康信息學(xué)公鑰基礎(chǔ)設(shè)施第3部分：認(rèn)證機(jī)構(gòu)的策略GB/T21716.1界定的術(shù)語(yǔ)和定義適用于本文4縮略語(yǔ)AA屬性機(jī)構(gòu)attributeauthorityAC屬性證書attributecertificateCA認(rèn)證機(jī)構(gòu)certificationauthoCP證書策略certificatepoCPS認(rèn)證操作聲明certificationpracticestateCRL證書吊銷列表certificaPKC公鑰證書publickPKI公鑰基礎(chǔ)設(shè)施RA注冊(cè)機(jī)構(gòu)registrationauthoTTP可信第三方GB/T21716.2—XXXX/ISO17090-2:20152——個(gè)人（正規(guī)健康專業(yè)人員、非正規(guī)健康）；——組織（醫(yī)療保健組織和支持組織證書。基本約束字段指示證書是否是CA。根CA證書通過(guò)互聯(lián)網(wǎng)瀏覽器和其他依賴PKI進(jìn)行實(shí)體識(shí)別和身書。從屬CA證書與其他證書一起使用，由依賴PKI進(jìn)行實(shí)體識(shí)別和身份驗(yàn)證的互聯(lián)網(wǎng)瀏覽器和其他5.3交叉/橋接證書GB/T21716.2—XXXX/ISO17090-2:20153交叉/橋接證書是不同CA領(lǐng)域交叉驗(yàn)證的證書類型。這種證書支持公鑰應(yīng)用的大范圍開(kāi)展，例如醫(yī)5.4端實(shí)體證書個(gè)人標(biāo)識(shí)證書是為證明目的而對(duì)個(gè)人發(fā)行的端實(shí)體證書的特定種類。人們公認(rèn)以下五種類型的醫(yī)證書持有者是健康專業(yè)人員。他/她為了履行其職業(yè)范圍內(nèi)的工作，需要有關(guān)政府機(jī)構(gòu)給予許可和b)非正規(guī)健康專業(yè)人員證書持有者是健康專業(yè)人員，但他/她不屬于有關(guān)政府機(jī)構(gòu)給予許可和注冊(cè)的人員。此類證書可以證書持有者是一個(gè)受雇于某醫(yī)療保健組織或支持組織的個(gè)人。此類證書可以是資格證書。與醫(yī)療行業(yè)密切相關(guān)的組織可以持有用于識(shí)別自身和加密目的的證書。根據(jù)IETF/RFC3647，這一設(shè)備可以是計(jì)算機(jī)服務(wù)器、醫(yī)療設(shè)備（例如X光機(jī)）、重癥信號(hào)監(jiān)視設(shè)備或需要單獨(dú)識(shí)別和驗(yàn)證的本文件主要是關(guān)于提供者的，但也認(rèn)識(shí)到在醫(yī)療保健自行管理方面患者/消費(fèi)者將更加需要數(shù)字證GB/T21716.2—XXXX/ISO17090-2:20154AC是屬性的數(shù)字簽名集合或證明集合。AC是類似于PKC的構(gòu)造，主要區(qū)別是AC不包括公鑰。AC可以合IETF/RFC5755（針對(duì)機(jī)構(gòu)的因特網(wǎng)屬性證書輪廓）在醫(yī)療保健行業(yè)的環(huán)境中，AC可以充當(dāng)傳送機(jī)構(gòu)信息的重要角色。機(jī)構(gòu)信息完全不同于可包括在PKC中的關(guān)于醫(yī)療保健或執(zhí)照的信息。角色和執(zhí)照暗示機(jī)構(gòu)水平，而其本身并非機(jī)構(gòu)信息。應(yīng)注意到對(duì)AC的詳細(xì)規(guī)范仍在發(fā)展中，而且還應(yīng)注意AC的詳細(xì)規(guī)范需要在軟件工業(yè)中更廣泛地加以實(shí)現(xiàn)。AC采用下列組件：version(版本號(hào))用于區(qū)分AC的不同版本。如果objectDigestInfo呈現(xiàn)或issucr被標(biāo)識(shí)等同于baseCertificateID，則其版本應(yīng)該是的某些選項(xiàng)（例如：IPAddress）不適用于命名是角色而不是個(gè)人實(shí)體的AC持有者。一般名稱的形式應(yīng)該限制為被識(shí)別的名稱、RFC822(電子郵件)地址和(對(duì)角色名稱的issuer（發(fā)行方）字段傳遞發(fā)行證書的AA的GB/Z21716.1—2008中8.3對(duì)醫(yī)療領(lǐng)域中AC的使用進(jìn)行了詳細(xì)的規(guī)用戶的AC可以包含對(duì)另一個(gè)具有附加特權(quán)AC的引用。這許多具有授權(quán)要求的環(huán)境要求在其操作的某些方面使用基于角色的特權(quán)（典型情況是有關(guān)基于標(biāo)GB/T21716.2—XXXX/ISO17090-2:20155的發(fā)行方可以與角色證書的發(fā)行方無(wú)關(guān)，可以完e)證書公鑰應(yīng)根據(jù)所采用的算法決定最小密鑰長(zhǎng)度字段。密鑰的大小應(yīng)符合GB/TZ21716.3—f)數(shù)字加密密鑰的使用不應(yīng)與抗抵賴和數(shù)字簽名的以下內(nèi)容描述了圖1所標(biāo)識(shí)的所有醫(yī)療保健數(shù)字證書中：：VersionValiditySubjectPublicKeyInfoIssuerUniqueIdentifierAlgorithmIdentifierSubjectPublicKeyInfoIMPLICITUniqueIdentifierIMPLICITUniqueIdentifier6.2各類證書的通用字段CA應(yīng)確保證書的有效期不超過(guò)專業(yè)執(zhí)照的有效期。為GB/T21716.2—XXXX/ISO17090-2:20156GeneralizedTime來(lái)編碼時(shí)間。為了確保UTCTime編進(jìn)行編碼，并且不要忽略第二個(gè)字段，即使是00（即，格式應(yīng)是YYMMDDHHMMSe)subject（主體）標(biāo)識(shí)在主體公鑰字段所發(fā)現(xiàn)的公f)subjectPublicKeyInfo）；）；6.3通用字段規(guī)范下列條款規(guī)定了對(duì)基本證書字段中信息內(nèi)容的要求。對(duì)這些內(nèi)容，IETF/RFC5280或IETF/RFCk)sha256WthRSAEncryption1.2.840.11351；m)sha512WithRSAEncryption1.2.840.11353。GB/T21716.2—XXXX/ISO17090-2:20157證書的notBeforetime（有效期起始時(shí)間）表示CA將從何時(shí)開(kāi)始維護(hù)并發(fā)布有關(guān)證書狀態(tài)的準(zhǔn)：：：：b)Diffie-Hellman：：us(840)ansi-x942(10046)numb：：存儲(chǔ)在發(fā)行者名稱字段中的發(fā)行者名稱，應(yīng)符合下述規(guī)定的修改和限制。與適當(dāng)?shù)腎SO名稱結(jié)構(gòu)保有不同保護(hù)客戶/消費(fèi)者隱私方面的法律和法規(guī)，分辨出請(qǐng)求起源的國(guó)家將示例：國(guó)家名稱=“CN”組織下屬的組織單元/科室。通過(guò)納入多于一個(gè)的字段值，可以在若干層次中規(guī)定組織單元。在存在組織單元的情況下，應(yīng)該以在CA范圍組織單元名稱=“安貞醫(yī)院放射科”GB/T21716.2—XXXX/ISO17090-2:20158該名稱結(jié)構(gòu)依據(jù)對(duì)象類別OrganizationalRole（組織角色），位第6.4規(guī)定了每種證書類型的主體名稱的內(nèi)容。附加的建議和指南見(jiàn)ISOTS示例：國(guó)家名稱=“CN”人健康信息的請(qǐng)求所提交的證書的主體。不同國(guó)家有著不同的保護(hù)客戶/消費(fèi)者政策方面的保密法儲(chǔ)特定組織下屬的組織單元/科室名稱。通過(guò)納入多于一個(gè)的字段值，可以在的路由器/防火墻可以訪問(wèn)組織單元，而這種方法可用來(lái)施加批準(zhǔn)或約束訪問(wèn)的規(guī)則，故這種方法在虛擬專業(yè)網(wǎng)實(shí)現(xiàn)中是有益的。這種方法還可以使依賴方直接從證書中讀取角色信息。在組織/單元名稱字段存在的情況下，該字段可以用來(lái)存儲(chǔ)健康角GB/T21716.2—XXXX/ISO17090-2:20159在主體區(qū)分名稱中同時(shí)包含電子郵件地址屬性以支持舊版實(shí)現(xiàn)的6.4對(duì)各種醫(yī)療保健證書類型的要求對(duì)各種醫(yī)療保健證書類型的發(fā)行方字段要求b本表引用在證書類型之間可以改變的發(fā)行方ID要素。認(rèn)證機(jī)構(gòu)證書引用向端實(shí)體發(fā)行證書的要素。非正規(guī)健康專業(yè)人員證書的值也適用于受托醫(yī)療保健提供者證書和支持醫(yī)療保健雇員證書。GB/T21716.2—XXXX/ISO17090-2:2015關(guān)于在X.509第3版醫(yī)療保健證書中的實(shí)現(xiàn)應(yīng)該具有證書擴(kuò)展的一般要求如下。有關(guān)這些擴(kuò)展的更7.2一般擴(kuò)展對(duì)于信賴醫(yī)療保健鏈內(nèi)所有端實(shí)體證書和所有CA證書來(lái)說(shuō)，此擴(kuò)展是必備的和非關(guān)鍵的。的使用是受阻止的，且數(shù)據(jù)加密（dataEncipherment）密鑰的使用不應(yīng)與抗抵賴或數(shù)字簽名7.2.4私鑰使用期（privateKeyUsagcertificatePolicies（證書策略）擴(kuò)展應(yīng)包括GB/Z21716.3規(guī)定的標(biāo)準(zhǔn)化證書CA策略的GB/T21716.2—XXXX/ISO17090-2:2015建議將subjectAltName（主體替換名稱健雇員、消費(fèi)者、組織、應(yīng)用和設(shè)備證書）不應(yīng)將此擴(kuò)展設(shè)定為“依賴CRL分布點(diǎn)的醫(yī)療保健實(shí)現(xiàn)來(lái)說(shuō)，此擴(kuò)展應(yīng)標(biāo)識(shí)在數(shù)字證書目錄中的相關(guān)CRL（或CA證書的ExtKeyUsage（擴(kuò)展密鑰使用）字段指出已驗(yàn)證的公鑰可以用做的一個(gè)或多個(gè)用途，而對(duì)基本用途定CRL的地址。此字段由一系列的訪問(wèn)方法和訪問(wèn)地址組成。在該序列中的每個(gè)入口描述關(guān)于CA附加信7.3專用主體目錄屬性排列與此字段相關(guān)。提議此字段設(shè)有擴(kuò)展機(jī)制，以允許因?yàn)樽C書持有者的醫(yī)療保健角色是構(gòu)成證書持有者標(biāo)識(shí)的整體的組成部分，所以在標(biāo)識(shí)證書中需要此字段。一旦經(jīng)過(guò)驗(yàn)證，按照GB/Z21716.12008中8.4見(jiàn)下述局部數(shù)據(jù)（REGIONAL-DATA）。詳見(jiàn)下文中的“局部數(shù)據(jù)（REGIONAL-DGB/T21716.2—XXXX/ISO17090-2:2015：：WITHSYNTAXHCActorDataEQUALITYMATCHINGRUhcActorSubstringsMa：：：：：：id-hcpki-at-healthcareactorOBJECTIDE：：id-hcpki-at-healthcareactorOBJECTIDENTIFIER：：=1.0.17090.0.1：：：：：：：：HCActorData：：=SET：：SEQUENCEOFRegionalDataOP：：：：typeREGIONALDATA.&id({SupportedRegivalueREGIONALDATA.&Type({SupportedRegionalData}{@t：：&Type，&idOBJECTIDENTIFIERUNWITHSYNTAX{WITHSYNTAX&TypeSupportedRegionalDataREGION：：GB/T21716.2—XXXX/ISO17090-2:2015—expectadditionalregional/nationalobjectstobedefined}：：WITHSYNTAXCodedRegionalData：：建議將此擴(kuò)展在個(gè)體標(biāo)識(shí)證書中表示。在這建議在正規(guī)健康專業(yè)人員證書和非正規(guī)健康專業(yè)人員證書中包含一項(xiàng)qcStatement（資格證書聲GB/T21716.2—XXXX/ISO17090-2:2015A.1概述BillSmith的NHS編號(hào)為368964278，證書發(fā)行日期為2001年8月1日，證書終止日期為2006年8月GB/T21716.2—XXXX/ISO17090-2:2015SerialNumbercountryNamelocalityNameorganizationName(Name-of-commonName(countryNamelocalityNameorganizationName(CertHGB/T21716.2—XXXX/ISO17090-2:2015certificatePoliciescRLDistributionPointsJohnStuartWoolleyakaTinkWoolley的執(zhí)照由加利福尼亞州醫(yī)療執(zhí)照委員會(huì)頒發(fā)，執(zhí)照編號(hào)GB/T21716.2—XXXX/ISO17090-2:2015countryName(US=localityNameorganizationName(Name-of-commonName(countryName(US=localityNameorganizationName(CertHGB/T21716.2—XXXX/ISO17090-2:2015A.5示例4：受托醫(yī)療保健提供方證書輪廓countryNamelocalityNameorganizationName(Name-commonNamecountryNamelocalityNameorganizationName(CertHsurnameGB/T21716.2—XXXX/ISO17090-2:2015SallyRJones為帳目管理員，受雇于Signature(sha-1WithRSAEncryption{1,2,840,113countryName(US=localityNameorganizationName(Name-of-commonName(countryName(US=localityNameorganizationNamesurnameGB/T21716.2—XXXX/ISO17090-2:2015codingSchemeReference應(yīng)注意到，本示例不同于示例3（正規(guī)健康專業(yè)人員它沒(méi)有執(zhí)照編號(hào)和執(zhí)照狀態(tài)編碼。這是允許的，因?yàn)閷?duì)這種區(qū)域性數(shù)據(jù)可選擇使用，是否納入這種數(shù)據(jù)須留待CA發(fā)行時(shí)再行決SerialNumberbaseCertificateIDGB/T21716.2—XXXX/ISO17090-2:2015countryName(US=organizationNamecountryName(US=certificatePoliciesbasicConstraintscRLDistributionPointsBasicReferenceModel—Part2:SecurityArchitectureGB/T21716.2—XXXX/ISO17090-2:20158:TheDirectory:Public-keyandattributecertificatefra