GB/T 21716.3-2025 健康信息学 公钥基础设施 第3部分：认证机构的规范化管理

ICS35.240.80

CCSC07

中华人民共和国国家标准

/—

GBT21716.32025

代替/—

GBZ21716.32008

健康信息学公钥基础设施

:

第部分认证机构的规范化管理

3

——

HealthinformaticsPublickeinfrastructure

y

:

Part3Policmanaementofcertificationauthorit

ygy

(:,)

ISO17090-32021MOD

2025-10-05发布2026-05-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT21716.32025

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………1

5医疗保健语境数字证书规范化管理要求………………2

5.1通则…………………2

5.2高层保证……………2

5.3高层信任……………2

5.4基础设施可用性……………………2

5.5互联网兼容性………………………2

5.6CP评估和比较………………………2

医疗保健和的结构……………

6CPCPS3

6.1CP总体要求…………………………3

6.2CPS总体要求………………………3

和关系……………………

6.3CPCPS4

6.4适用性………………4

7医疗保健CP的最小要求………………4

7.1基本要求……………4

7.2发布和存储责任……………………4

7.3标识和鉴别…………………………5

7.4证书生命周期操作请求……………7

7.5物理控制……………13

7.6技术方面的安全控制………………14

证书、和轮廓…………

7.7CRLOCSP17

7.8符合性审计…………………………17

7.9其他业务和法律问题………………18

8PKI公开声明模型………………………22

8.1概述…………………22

8.2声明结构要求………………………23

参考文献……………………24

Ⅰ

/—

GBT21716.32025

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/《》。/

本文件是健康信息学公钥基础设施的第部分已经发布了以下

GBT217163GBT21716

部分:

———:;

第部分数字证书服务综述

1

———:;

第部分证书概要

2

———:。

第部分认证机构的规范化管理

3

/—《():

本文件代替健康信息学公钥基础设施第部分认证机构的策略

GBZ21716.32008PKI3

》,/—,,:

管理与GBZ21716.32008相比除结构调整和编辑性改动外主要技术变化如下

———“”“”();

增加了缩略语见第章

ACOCSP4

———(、);

删除了服务的可用性和操作特点见2008年版的7.4.10.27.4.10.3

———(,);

更改了通则的内容见5.12008年版的5.1

———(,);

更改了高层信任要求的内容见5.32008年版的5.4

———(,);

更改了基础设施可用性的内容见5.42008年版的5.3

———(,);

更改了和关系见年版的

CPCPS6.320086.3

———(,);

更改了名称形式解释规则的内容见7.3.1.42008年版的7.3.1.4

———(,);

更改了个人身份鉴别的内容见7.3.2.32008年版的7.3.2.3

———(,);

更改了证书申请处理时间见7.4.2.32008年版的7.4.2.3

———(,);

更改了服务的可用性的内容见7.4.10.22008年版的7.4.10.2

———(,);

更改了CA表述和担保见7.9.6.22008年版的7.9.6.2

———、(,)。

更改了公开声明模型中声明类型声明描述和要求内容见年版的

PKICP8.120088.1

:《:

本文件修改采用健康信息学公钥基础设施第部分认证机构的规范化

ISO17090-320213

管理》。

本文件与:相比做了下述结构调整:

ISO17090-32021

———对应:的;

7.6.1.2ISO17090-320217.6.1.2~7.6.1.4

———对应:的;

7.4.9.2~7.4.9.18ISO17090-320217.4.9.1~7.4.9.17

———中表对应:的中表。

8.11ISO17090-320218.21

本文件与:的技术差异及其原因如下:

ISO17090-32021

———“”“”(),;

增加了缩略语见第章以简化表述

ACOCSP4

———(),;

将导致的结果更改为注见5.3以简化表述

———/—(),;

用规范性引用的替换了见第章以适应我国国情

GBT21716.12025ISO17090-13

———/(、、),

用规范性引用的替换了见以适应我国

GBT21716.2ISO17090-27.3.1.17.3.2.67.7

国情;

———//(、、、),

用规范性引用的替换了见以适应我国

GBT22081ISOIEC270027.2.17.57.67.9.14

国情;

———/—(、),

用规范性引用的替换了见以适应我国

GMT00282024USFIPS140-27.6.6.27.6.6.12

国情。

本文件做了下列编辑性改动:

Ⅲ

/—

GBT21716.32025

———删除了:的中对创建或撤销证书请求进行存档的原因。

ISO17090-320217.5.6.3

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由中国标准化研究院提出并归口。

:、、

本文件起草单位中国标准化研究院深圳市卫生健康发展研究和数据管理中心上海市中医药国

、、、、

际标准化研究院厦门市众科佰联标准化服务有限公司深圳统标科技有限公司福建理工大学西安交

、、。

通大学福建省中科标准科技有限责任公司深圳市常行科技有限公司

:、、、、、、、、、、

本文件主要起草人任冠华陈煌李静吴培凯王萌萌田容王志民高亮徐凯程宋宝祥

、、、、、。

李慧娟徐怡珊郭欣艳谢美娟陈婉婷郭义

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—;

2008GBZ21716.32008

———本次为第一次修订。

Ⅳ

/—

GBT21716.32025

引言

/《》。

健康信息学公钥基础设施拟由五个部分构成

GBT21716

———:。,

第部分数字证书服务综述目的在于规定医疗保健行业中使用数字证书的基本概念给出

1

使用数字证书进行健康信息安全通信所需的互操作方案。

———:。

第部分证书概要目的在于给出基于国际标准的数字证书的健康专用概要以及用

2X.509

于不同证书类型的/中规定的医疗保健概要。

IETFRFC5280

———:。()

第部分认证机构的规范化管理目的在于规定证书策略的结构和最低要求以及关联

3CP

。/,

认证操作声明的结构以IETFRFC3647的相关建议为基础确定在健康信息跨国通信的

,。

安全策略中所需的原则规定健康方面所需的最低级别的安全性

———:。

第部分医疗保健文档数字签名通过提供生成和验证数字签名及相关证书的最低要求和

4

,。

格式支持数字签名的可互换性并防止不正确或非法的数字签名

———:。/

第部分使用医疗保健凭证进行身份验证目的在于规定基于中定义的

5PKIGBT21716

,()。

PKI验证实体凭证的程序要求用于医疗保健信息系统包括访问远程系统

Ⅴ

/—

GBT21716.32025

健康信息学公钥基础设施

:

第部分认证机构的规范化管理

3

1范围

、、

本文件规定了医疗保健语境数字证书规范化管理要求医疗保健和的结构证书的结构医

CPCPS

疗保健CP的最小要求和PKI公开声明模型。

()。

本文件适用于医疗保健中配置的证书包括数字证书的管理

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—:(:

健康信息学公钥基础设施第部分数字证书服务综述

GBT21716.120251ISO17090-1

,)

2021MOD

注:/—被引用的内容与:被引用的内容没有技术上的差异。

GBT21716.12025ISO17090-12021

/:(/—,

健康信息学公钥基础设施第部分证书概要

GBT21716.22GBT21716.22025

:,)

ISO17090-22015MOD

/—:(:,

健康信息学公钥基础设施第部分证书概要

GBT21716.220252ISO17090-22015

MOD)

注:/—被引用的内容与:被引用的内容没有技术上的差异。

GBT21716.22025ISO17090-22015

/网络安全技术信息安全控制(/—,/:,)

GBT22081GBT220812024ISOIEC270022022IDT

/—密码模块安全要求

GMT00282024

/互联网公钥基础设施证书管理协议(

IETFRFC2511X.509InternetX.509PublicKeInfra-

y

)

structureCertificateManaementProtocols

g

/:互联网公钥基础设施证书策略与认证业务框架(

IETFRFC36472003X.509InternetX.509

PublicKeInfrastructureCertificatePolicandCertificationPracticesFramework)

yy

/互联网公钥基础设施证书请求消息格式()[

IETFRFC4211X.509CRMFInternetX.509Public

()]

KeInfrastructureCertificateReuestMessaeFormatCRMF

yqg

3术语和定义

/—界定的术语和定义适用于本文件。

GBT21716.12025

4缩略语

下列缩略语适用于本文件。

:()

AA属性机构AttributeAuthorit

y

:()

AC属性证书AttributeCertificate

1