GB/T21716.2—XXXX/ISO17090-2:20151健康信息學公鑰基礎設施第2部分：證書輪廓本文件規定了在單獨組織內部、不同組織之間和跨越管轄界限時醫療保健信息交換所需要的證書本文件適用于健康信息安全人員、專門從事健GB/Z21716.1健康信息學公鑰基礎設施第1部分：數字證書服務GB/Z21716.3健康信息學公鑰基礎設施第3部分：認證機構的策略GB/T21716.1界定的術語和定義適用于本文4縮略語AA屬性機構attributeauthorityAC屬性證書attributecertificateCA認證機構certificationauthoCP證書策略certificatepoCPS認證操作聲明certificationpracticestateCRL證書吊銷列表certificaPKC公鑰證書publickPKI公鑰基礎設施RA注冊機構registrationauthoTTP可信第三方GB/T21716.2—XXXX/ISO17090-2:20152——個人（正規健康專業人員、非正規健康）；——組織（醫療保健組織和支持組織證書。基本約束字段指示證書是否是CA。根CA證書通過互聯網瀏覽器和其他依賴PKI進行實體識別和身書。從屬CA證書與其他證書一起使用，由依賴PKI進行實體識別和身份驗證的互聯網瀏覽器和其他5.3交叉/橋接證書GB/T21716.2—XXXX/ISO17090-2:20153交叉/橋接證書是不同CA領域交叉驗證的證書類型。這種證書支持公鑰應用的大范圍開展，例如醫5.4端實體證書個人標識證書是為證明目的而對個人發行的端實體證書的特定種類。人們公認以下五種類型的醫證書持有者是健康專業人員。他/她為了履行其職業范圍內的工作，需要有關政府機構給予許可和b)非正規健康專業人員證書持有者是健康專業人員，但他/她不屬于有關政府機構給予許可和注冊的人員。此類證書可以證書持有者是一個受雇于某醫療保健組織或支持組織的個人。此類證書可以是資格證書。與醫療行業密切相關的組織可以持有用于識別自身和加密目的的證書。根據IETF/RFC3647，這一設備可以是計算機服務器、醫療設備（例如X光機）、重癥信號監視設備或需要單獨識別和驗證的本文件主要是關于提供者的，但也認識到在醫療保健自行管理方面患者/消費者將更加需要數字證GB/T21716.2—XXXX/ISO17090-2:20154AC是屬性的數字簽名集合或證明集合。AC是類似于PKC的構造，主要區別是AC不包括公鑰。AC可以合IETF/RFC5755（針對機構的因特網屬性證書輪廓）在醫療保健行業的環境中，AC可以充當傳送機構信息的重要角色。機構信息完全不同于可包括在PKC中的關于醫療保健或執照的信息。角色和執照暗示機構水平，而其本身并非機構信息。應注意到對AC的詳細規范仍在發展中，而且還應注意AC的詳細規范需要在軟件工業中更廣泛地加以實現。AC采用下列組件：version(版本號)用于區分AC的不同版本。如果objectDigestInfo呈現或issucr被標識等同于baseCertificateID，則其版本應該是的某些選項（例如：IPAddress）不適用于命名是角色而不是個人實體的AC持有者。一般名稱的形式應該限制為被識別的名稱、RFC822(電子郵件)地址和(對角色名稱的issuer（發行方）字段傳遞發行證書的AA的GB/Z21716.1—2008中8.3對醫療領域中AC的使用進行了詳細的規用戶的AC可以包含對另一個具有附加特權AC的引用。這許多具有授權要求的環境要求在其操作的某些方面使用基于角色的特權（典型情況是有關基于標GB/T21716.2—XXXX/ISO17090-2:20155的發行方可以與角色證書的發行方無關，可以完e)證書公鑰應根據所采用的算法決定最小密鑰長度字段。密鑰的大小應符合GB/TZ21716.3—f)數字加密密鑰的使用不應與抗抵賴和數字簽名的以下內容描述了圖1所標識的所有醫療保健數字證書中：：VersionValiditySubjectPublicKeyInfoIssuerUniqueIdentifierAlgorithmIdentifierSubjectPublicKeyInfoIMPLICITUniqueIdentifierIMPLICITUniqueIdentifier6.2各類證書的通用字段CA應確保證書的有效期不超過專業執照的有效期。為GB/T21716.2—XXXX/ISO17090-2:20156GeneralizedTime來編碼時間。為了確保UTCTime編進行編碼，并且不要忽略第二個字段，即使是00（即，格式應是YYMMDDHHMMSe)subject（主體）標識在主體公鑰字段所發現的公f)subjectPublicKeyInfo）；）；6.3通用字段規范下列條款規定了對基本證書字段中信息內容的要求。對這些內容，IETF/RFC5280或IETF/RFCk)sha256WthRSAEncryption1.2.840.11351；m)sha512WithRSAEncryption1.2.840.11353。GB/T21716.2—XXXX/ISO17090-2:20157證書的notBeforetime（有效期起始時間）表示CA將從何時開始維護并發布有關證書狀態的準：：：：b)Diffie-Hellman：：us(840)ansi-x942(10046)numb：：存儲在發行者名稱字段中的發行者名稱，應符合下述規定的修改和限制。與適當的ISO名稱結構保有不同保護客戶/消費者隱私方面的法律和法規，分辨出請求起源的國家將示例：國家名稱=“CN”組織下屬的組織單元/科室。通過納入多于一個的字段值，可以在若干層次中規定組織單元。在存在組織單元的情況下，應該以在CA范圍組織單元名稱=“安貞醫院放射科”GB/T21716.2—XXXX/ISO17090-2:20158該名稱結構依據對象類別OrganizationalRole（組織角色），位第6.4規定了每種證書類型的主體名稱的內容。附加的建議和指南見ISOTS示例：國家名稱=“CN”人健康信息的請求所提交的證書的主體。不同國家有著不同的保護客戶/消費者政策方面的保密法儲特定組織下屬的組織單元/科室名稱。通過納入多于一個的字段值，可以在的路由器/防火墻可以訪問組織單元，而這種方法可用來施加批準或約束訪問的規則，故這種方法在虛擬專業網實現中是有益的。這種方法還可以使依賴方直接從證書中讀取角色信息。在組織/單元名稱字段存在的情況下，該字段可以用來存儲健康角GB/T21716.2—XXXX/ISO17090-2:20159在主體區分名稱中同時包含電子郵件地址屬性以支持舊版實現的6.4對各種醫療保健證書類型的要求對各種醫療保健證書類型的發行方字段要求b本表引用在證書類型之間可以改變的發行方ID要素。認證機構證書引用向端實體發行證書的要素。非正規健康專業人員證書的值也適用于受托醫療保健提供者證書和支持醫療保健雇員證書。GB/T21716.2—XXXX/ISO17090-2:2015關于在X.509第3版醫療保健證書中的實現應該具有證書擴展的一般要求如下。有關這些擴展的更7.2一般擴展對于信賴醫療保健鏈內所有端實體證書和所有CA證書來說，此擴展是必備的和非關鍵的。的使用是受阻止的，且數據加密（dataEncipherment）密鑰的使用不應與抗抵賴或數字簽名7.2.4私鑰使用期（privateKeyUsagcertificatePolicies（證書策略）擴展應包括GB/Z21716.3規定的標準化證書CA策略的GB/T21716.2—XXXX/ISO17090-2:2015建議將subjectAltName（主體替換名稱健雇員、消費者、組織、應用和設備證書）不應將此擴展設定為“依賴CRL分布點的醫療保健實現來說，此擴展應標識在數字證書目錄中的相關CRL（或CA證書的ExtKeyUsage（擴展密鑰使用）字段指出已驗證的公鑰可以用做的一個或多個用途，而對基本用途定CRL的地址。此字段由一系列的訪問方法和訪問地址組成。在該序列中的每個入口描述關于CA附加信7.3專用主體目錄屬性排列與此字段相關。提議此字段設有擴展機制，以允許因為證書持有者的醫療保健角色是構成證書持有者標識的整體的組成部分，所以在標識證書中需要此字段。一旦經過驗證，按照GB/Z21716.12008中8.4見下述局部數據（REGIONAL-DATA）。詳見下文中的“局部數據（REGIONAL-DGB/T21716.2—XXXX/ISO17090-2:2015：：WITHSYNTAXHCActorDataEQUALITYMATCHINGRUhcActorSubstringsMa：：：：：：id-hcpki-at-healthcareactorOBJECTIDE：：id-hcpki-at-healthcareactorOBJECTIDENTIFIER：：=1.0.17090.0.1：：：：：：：：HCActorData：：=SET：：SEQUENCEOFRegionalDataOP：：：：typeREGIONALDATA.&id({SupportedRegivalueREGIONALDATA.&Type({SupportedRegionalData}{@t：：&Type，&idOBJECTIDENTIFIERUNWITHSYNTAX{WITHSYNTAX&TypeSupportedRegionalDataREGION：：GB/T21716.2—XXXX/ISO17090-2:2015—expectadditionalregional/nationalobjectstobedefined}：：WITHSYNTAXCodedRegionalData：：建議將此擴展在個體標識證書中表示。在這建議在正規健康專業人員證書和非正規健康專業人員證書中包含一項qcStatement（資格證書聲GB/T21716.2—XXXX/ISO17090-2:2015A.1概述BillSmith的NHS編號為368964278，證書發行日期為2001年8月1日，證書終止日期為2006年8月GB/T21716.2—XXXX/ISO17090-2:2015SerialNumbercountryNamelocalityNameorganizationName(Name-of-commonName(countryNamelocalityNameorganizationName(CertHGB/T21716.2—XXXX/ISO17090-2:2015certificatePoliciescRLDistributionPointsJohnStuartWoolleyakaTinkWoolley的執照由加利福尼亞州醫療執照委員會頒發，執照編號GB/T21716.2—XXXX/ISO17090-2:2015countryName(US=localityNameorganizationName(Name-of-commonName(countryName(US=localityNameorganizationName(CertHGB/T21716.2—XXXX/ISO17090-2:2015A.5示例4：受托醫療保健提供方證書輪廓countryNamelocalityNameorganizationName(Name-commonNamecountryNamelocalityNameorganizationName(CertHsurnameGB/T21716.2—XXXX/ISO17090-2:2015SallyRJones為帳目管理員，受雇于Signature(sha-1WithRSAEncryption{1,2,840,113countryName(US=localityNameorganizationName(Name-of-commonName(countryName(US=localityNameorganizationNamesurnameGB/T21716.2—XXXX/ISO17090-2:2015codingSchemeReference應注意到，本示例不同于示例3（正規健康專業人員它沒有執照編號和執照狀態編碼。這是允許的，因為對這種區域性數據可選擇使用，是否納入這種數據須留待CA發行時再行決SerialNumberbaseCertificateIDGB/T21716.2—XXXX/ISO17090-2:2015countryName(US=organizationNamecountryName(US=certificatePoliciesbasicConstraintscRLDistributionPointsBasicReferenceModel—Part2:SecurityArchitectureGB/T21716.2—XXXX/ISO17090-2:20158:TheDirectory:Public-keyandattributecertificatefra