T_WAPIA 052.5-2023 无线局域网设备技术规范 第5部分：证书签发服务器.docx

学兔兔标准下载ICS 35.180CCS L 63团体标准T/WAPIA 052.52023代替GB/T 15843.32008无线局域网设备技术规范第 5 部分：证书签发服务器Technical specification for WLAN equipmentPart5: Certificate issue servers2023-12-28 发布2023-12-28 实施中关村无线网络安全产业联盟发布学标准兔兔下载学标准兔兔下载学兔兔标准下载T/WAPIA 052.52023目次前言 . III引言 . V1 范围 . 12 规范性引用文件 . 13 定义和术语 . 14 缩略语 . 15 技术要求 . 15.1 基本要求 . 15.2 物理接口要求 . 15.3 功能要求 . 15.4 信息安全要求 . 25.5 物理安全要求 . 25.6 管理和维护要求 . 35.7 可靠性要求 . 35.8 环境适应性要求 . 35.9 电磁兼容性要求 . 35.10 电气安全要求 . 36 测试方法 . 36.1 测试条件 . 46.2 功能测试 . 46.3 安全测试 . 66.4 管理和维护测试 . 66.5 可靠性测试 . 66.6 环境适应性测试 . 66.7 电磁兼容性测试 . 76.8 电气安全测试 . 7I学标准兔兔下载学兔兔标准下载T/WAPIA 052.52023前言本文件按照 GB/T 1.12020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。本文件是 T/WAPIA 052无线局域网设备技术规范的第 2 部分。T/WAPIA 052 已经发布了以下部分：第 2 部分：终端；第 3 部分：接入点和接入控制器；第 4 部分：鉴别服务器；第 5 部分：证书签发服务器。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村无线网络安全产业联盟与信息化部宽带无线IP标准工作组联合提出。本文件由无线网络安全标准化委员会归口。本文件起草单位：中关村无线网络安全产业联盟、北京数字认证股份有限公司、无线网络安全技术国家工程研究中心、西安芯语慧联信息科技有限公司、江苏省电子信息产品质量监督检验研究院、西安西电捷通无线网络通信股份有限公司、锐捷网络股份有限公司、国家无线电监测中心检测中心、深圳市国电科技通信有限公司、北京智芯微电子科技有限公司、北京兴汉网际股份有限公司、山东华辰泰尔信息科技股份有限公司、工业和信息化部宽带无线IP标准工作组。本文件主要起草人：王立华、刘婷、张璐璐、侯鹏亮、简练、黄振海、葛珊、于双双、童伟刚、翁祖勇、潘琪、张国强、徐梓郡、卢杰、祝张睿、郑骊、周园、刘剑昕、尹玉昂、陈晓龙、李晓华、徐书明、胡霄亮、范小伟、耿震雷、李政远、胡敬财。本文件为首次制定。III学标准兔兔下载学兔兔标准下载T/WAPIA 052.52023引言随着无线局域网应用领域的扩展，无线局域网产品类型也逐渐丰富，从无线终端、无线接入点、鉴别服务器等典型产品发展到包括接入控制器、证书签发服务器等在内的系列产品，从独立的无线局域网设备逐步发展到集成或内置了无线局域网设备的产品。因此，亟需在 GB 15629.11（所有部分）的基础上，制定针对无线局域网设备的扩展子项规范，规定无线局域网设备的功能、性能以及空中接口物理层等的技术要求与测试方法。T/WAPIA 052 拟由五个部分构成。第 1 部分：总则。目的在于确立无线局域网设备的分类和基本要求等内容。第 2 部分：终端。目的在于确立终端的功能、性能以及空中接口物理层等的技术要求与测试方法。第 3 部分：接入点和接入控制器。目的在于确立接入点和接入控制器的功能、性能、操作管理维护等的技术要求和测试方法。第 4 部分：鉴别服务器。目的在于确立鉴别服务器的功能、性能、操作管理维护等的技术要求和测试方法。第 5 部分：证书签发服务器。目的在于确立证书签发服务器的功能、性能、操作管理维护等的技术要求和测试方法。V学兔兔标准下载T/WAPIA 052.52023无线局域网设备技术规范 第 5 部分：证书签发服务器1范围本文件规定了无线局域网设备证书签发服务器的功能、性能、操作管理维护等技术要求和测试方法。本文件适用于无线局域网设备证书签发服务器的设计、研发和测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 19286 电信网络设备的电磁兼容性要求及测量方法GM/T 0014 数字证书认证系统密码协议规范GB/T 9813.22016 计算机通用规范 第2部分：便携式微型计算机GB/T 20518 信息安全技术 公钥基础设施 数字证书格式T/WAPIA 013.5 WAPI证书管理 第5部分：证书格式规范T/WAPIA 038 信息安全技术 终端实体证书管理3定义和术语本文件没有需要界定的术语和定义。4缩略语下列缩略语适用于本文件。AP接入点（access point）AS鉴别服务器（authentication server）CIS证书签发服务器（certificate issue service）CRL证书吊销列表（certificate revocation list）MAC媒体访问控制（medium access control）MTBF平均故障间隔时间（mean time between failures）STA站点（station）WAPI无线局域网鉴别与保密基础结构（WLAN authentication and privacyinfrastructure）EUT被测设备（equipment under test）5技术要求5.1基本要求CIS签发的证书应符合GB/T 20518所规定的X.509数字证书的基本格式和T/WAPIA 013.5所规定的数据项。5.2物理接口要求物理接口要求包括：a)以太网接口：应有1个10/100/1000 BaseT 以太网接口，应符合GB/T 15629.3的规定，应支持使用直连网线进行连接，应具备自动校验连接网线的功能，应具备1个或多个千兆光口；b)串口：应具备1个RJ45串口；c)USB接口：应具备1个USB接口，符合USB2.0或USB3.0要求；d)显示接口：至少应具备1个显示接口，如：VGA、DVI、HDMI等。5.3功能要求1学兔兔标准下载T/WAPIA 052.520235.3.1证书签发证书签发要求包括：a)CIS应能对证书进行签发操作，包括生成和签发证书；b)CIS应能下载签发完毕的证书；c)CIS应能自定义证书的有效期；d)CIS宜能在线签发证书；e)CIS在线签发实体证书时宜使用符合T/WAPIA 038所规定的管理协议和安全传输机制。5.3.2CRL 签发CIS应能根据CRL签发策略签发CRL文件，并具备CRL查询和下载功能。5.3.3证书更新CIS应能为已添加的设备重新签发证书。5.3.4证书查询CIS应能按证书序列号对证书查询，能按证书持有者名称对证书查询。5.3.5证书吊销CIS应具备证书吊销功能，能按证书持有者名称、证书序列号等方式对证书吊销和批量吊销。5.3.6证书状态查询CIS应具备实时证书状态查询功能。5.3.7统计分析功能统计分析功能要求包括：a)可对签发证书情况进行统计分析，包括已签发、待签发、已更新、已吊销等；b)可按照设备类型进行证书签发统计。5.3.8设备信息管理CIS应具备设备信息管理功能，能分别对STA和AP进行信息管理，包括STA和AP的设备信息、MAC地址信息等，能对设备信息进行增加、删除、更改和查询操作。5.3.9授权管理CIS应具备设备分组管理功能，能对设备分组进行增加、删除、更改和查询操作，能基于组创建授权策略，能直接为STA或AP设备进行授权。5.3.10数据备份和恢复CIS应具备数据备份和恢复功能，能实现数据的备份与恢复。5.3.11证书容量CIS签发的有效证书数量应不低于5000张。5.3.12与 AS 安全通信功能CIS与AS之间涉及证书、密钥等数据的跨网络通信，应符合GM/T 0014规定的基于密码技术进行安全保护的相关协议。5.3.13热备要求CIS应能1:1备份，故障倒换时不影响业务正常运行。5.4信息安全要求5.4.1系统要求CIS所使用的操作系统应进行安全加固，关闭所有不需要的端口和服务。5.4.2密码算法CIS应使用国家密码管理主管部门批准的用于无线局域网的算法。5.4.3安全管理CIS应遵循三权分立原则，设置管理员权限，具有管理权限的管理员可进行管理操作，管理操作应具备日志审计功能。5.5物理安全要求2环境条件参数类型工作环境存储环境温度0 40 -40 55 相对湿度10%90%（非凝结）大气压86 kPa106 kPa标学兔兔准下载T/WAPIA 052.52023物理安全要求包括：a)CIS在设计、硬件配置等方面要采取相应的保护措施，实现设备基本的物理安全防护功能；b)宜具备双电源备份功能，电源故障时及时切换供电，实现CIS设备供电不间断。5.6管理和维护要求5.6.1管理员管理管理员管理要求包括：a)应提供系统初始化管理员凭证，可在管理界面增加或删除管理员；b)管理员凭证宜具备多因素身份认证方式。5.6.2日志要求日志要求包括：a)日志应记录事件发生的时间、事件的操作者、操作类型及操作结果等信息；b)应能按时间、操作者、操作类型等对日志进行分类或综合查询；c)应提供审计管理的界面，能够对事件发生的时间、事件的操作者、操作类型及操作结果等信息进行审计。5.7可靠性要求使用平均失效间隔工作时间（MTFB）衡量终端的可靠性水平。终端的m1值（MTBF的不可接受值）不低于10000 h。5.8环境适应性要求证书签发服务器的环境适应性要求应与表1相符。表1 环境适应性要求5.9电磁兼容性要求证书签发服务器的电磁兼容性应符合GB 19286的规定。5.10电气安全要求证书签发服务器的电气安全应符合GB/T 9813.2中4.5的规定。6测试方法CIS功能测试基本连接见图1。图1CIS 功能测试基本连接图3学兔兔标准下载T/WAPIA 052.520236.1测试条件本文件中除环境试验外，其他测试均应在下述环境条件下进行。温度：15 35 。相对湿度：25%75%。大气压：86 kPa106 kPa。6.2功能测试6.2.1证书签发测试步骤和判定准则如下：a)测试步骤：1)在CIS上为STA1生成一个X.509 v3证书，验证生成证书时可否选择有效期，验证证书能否下载；2)在CIS上为AP生成一个X.509 v3证书，验证生成证书时可否选择有效期，验证证书能否下载；3)在CIS上为STA1生成一个X.509 v3证书，验证是否可以绑定STA1的MAC地址；4)在CIS上为AP生成一个X.509 v3证书，验证是否可以绑定AP的MAC地址。b)判定准则：1)步骤1)：CIS能够生成X.509 v3证书，生成证书时可以选择有效期，能实现证书下载；2)步骤2)：CIS能够生成X.509 v3证书，生成证书时可以选择有效期，能实现证书下载；3)步骤3)：CIS能够生成X.509 v3证书，生成证书时可以绑定STA1的MAC地址；4)步骤4)：CIS能够生成X.509 v3证书，生成证书时可以绑定AP的MAC地址。6.2.2CRL 签发测试步骤和判定准则如下：a)测试步骤：1)在CIS上验证已签发的证书是否可以进行吊销并记录到CRL中；2)在CIS上CRL管理界面，验证是否可以下载CRL文件。b)判定准则：1)步骤1)：在CIS上可以对已签发的证书进行吊销并记录到CRL中；2)步骤2)：在CIS上CRL管理界面，可以下载CRL文件。6.2.3证书更新测试步骤和判定准则如下：a) 测试步骤：1)在CIS上为STA1生成一个X.509 v3证书，验证能否重新颁发；2)在CIS上为AP生成一个X.509 v3证书，验证能否重新颁发。b) 判定准则：1)步骤1)：在CIS上为STA1生成一个X.509 v3证书，可以重新签发；2)步骤2)：在CIS上为AP生成一个X.509 v3证书，可以重新签发。6.2.4证书查询测试步骤和判定准则如下：a) 测试步骤：1)在CIS的证书管理界面输入要查询的证书序列号，观察查询到的证书是否与要查询一致；2)在CIS的证书管理界面输入要查询的证书的持有者名称，观察查询到的证书是否与要查询一致。b) 判定准则：1)步骤1)：查询结果与输入的证书序列号是相同的证书；2)步骤2)：查询结果与输入的证书持有者名称是相同的证书。4学兔兔标准下载T/WAPIA 052.520236.2.5证书吊销测试步骤和判定准则如下：a) 测试步骤：在CIS上按证书持有者名称等方式查找到证书，验证是否可以对证书进行吊销操作。b) 判定准则：在CIS上按证书持有者名称等方式查找到证书，可以对证书进行吊销操作。6.2.6证书状态查询a) 测试步骤：在CIS上验证是否可以查看到证书的状态，如“已过期”、“已吊销”。b) 判定准则：在CIS上可以查看到证书的状态。6.2.7统计分析功能测试步骤和判定准则如下：a) 测试步骤：1)在CIS上选择已签发状态，验证是否可以查询到已签发证书的数量以及设备名称等信息；2)在CIS上选择待签发状态，验证是否可以查询到待签发证书的数量以及设备名称等信息；3)在CIS上选择已吊销状态，验证是否可以查询到已吊销证书的数量以及设备名称等信息；4)在CIS上选择已更新状态，验证是否可以查询到已更新证书的数量以及设备名称等信息。b) 判定准则：1)步骤1)：在CIS上选择已签发状态，可以查询到已签发证书的数量以及设备名称等信息；2)步骤2)：在CIS上选择待签发状态，可以查询到待签发证书的数量以及设备名称等信息；3)步骤3)：在CIS上选择已吊销状态，可以查询到已吊销证书的数量以及设备名称等信息；4)步骤4)：在CIS上选择已更新状态，可以查询到已更新证书的数量以及设备名称等信息。6.2.8设备信息管理测试步骤和判定准则如下：a) 测试步骤：1)在CIS上验证是否可以删除、修改、增加STA设备信息以及MAC地址；2)在CIS上验证是否可以删除、修改、增加AP设备信息以及MAC地址。b) 判定准则：1)步骤1)：在CIS上可以删除、修改、增加STA设备信息以及MAC地址；2)步骤2)：在CIS上可以删除、修改、增加AP设备信息以及MAC地址。6.2.9授权管理测试步骤和判定准则如下：a) 测试步骤：验证CIS中是否实现为STA或AP设备进行绑定授权。b) 判定准则：在CIS上已经实现为STA或AP设备进行绑定授权。6.2.10数据备份和恢复测试步骤和判定准则如下：a) 测试步骤：1)在CIS上通过命令行或 WEB 方式登录进行管理和维护；2)在CIS上进行数据备份处理；3)在CIS上修改目前的数据，并用步骤b备份的数据文件进行数据恢复，查看数据情况。b) 判断准则：1)步骤2)：应能完成备份；2)步骤3)：应能恢复数据。6.2.11证书容量测试步骤和判定准则如下：a) 测试步骤：1)通过配置文件，批量导入数字证书；2)登录 CIS界面，查看证书数量是否满足要求，同时随机抽取证书查看内容是否正确。5学兔兔标准下载T/WAPIA 052.52023b) 判定准则：1)步骤2)：证书容量应不低于5000张，证书内容应正确。6.2.12热备测试测试步骤和判定准则如下：a) 测试步骤：1)配置主用AS和备用AS；2)配置STA接入AP；3)断开主用AS的网络连接；4)STA重新尝试接入AP。b) 判定准则：1)步骤2)：STA应接入AP；2)步骤3)：备用AS转为主用AS；3)步骤4)：STA重新接入AP。6.3信息安全测试6.3.1密码检测测试步骤和判定准则如下：a) 测试步骤：CIS使用给定的密钥对待签名消息调用密码算法签名后，检测平台对签名结果进行验签。b) 判定准则：检测平台对签名结果验签通过。6.4管理和维护测试6.4.1管理员管理测试步骤和判定准则如下：a) 测试步骤：1)操作人员通过命令或者WEB页面方式登录到CIS；2)验证是否可以在管理界面增加或删除管理员；3)验证管理员是否可以使用多因素方式登录；4)验证是否可以对管理员设置角色以及访问权限。b) 判定准则：1)步骤2)：可以增加或删除管理员；2)步骤3)：管理员可以使用多因素方式登录；3)步骤4)：可以对管理员设置角色以及访问权限。6.4.2日志管理测试步骤和判定准则如下：a) 测试步骤：1)操作人员通过命令行或WEB方式登录 CIS进行管理和维护；2)操作人员查看CIS的日志审计记录信息。b) 判定准则：1)步骤2)：能够查看安全日志，可以查看到管理员的操作行为日志并进行审计。6.5可靠性测试可靠性测试方法和判断准则应符合GB/T 9813.2的规定。6.6环境适应性测试6.6.1低温试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(15 35 )下，放入试验箱，接通电源；6学兔兔标准下载T/WAPIA 052.520232)测试EUT的证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐降低至极限低温（温度变化速率在5 min内的平均值不大于1 /min），保持此温度直至EUT达到温度稳定。接通EUT电源，保持恒温2 h后，重复步骤2）；4)关闭EUT的电源，将试验箱的温度逐渐升至室温（温度变化速率在5 min内的平均值不大于1 /min），待EUT达到温度稳定后，重复步骤2）。b)判定准则：1)步骤2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤3)：证书签发功能的测试结果符合6.2.1的要求；3)步骤4)：证书签发功能的测试结果符合6.2.1的要求。6.6.2高温试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(15 35 )下，放入试验箱，接通电源；2)测试EUT证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐升高至极限高温（温度变化速率在5 min内的平均值不大于1 /min），保持此温度直至EUT达到温度稳定，接通EUT电源，保持恒温2 h后，重复测试步骤2）；4)关闭EUT的电源，将试验箱的温度逐渐降至室温（温度变化速率在5 min内的平均值不大于1 /min），待EUT达到温度稳定后，重复测试步骤2）。b)判定准则：1)步骤2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤3)：证书签发功能的测试结果符合6.2.1的要求；3)步骤4)：证书签发功能的测试结果符合6.2.1的要求。6.6.3恒定湿热试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(15 35 )下，放入试验箱，接通电源；2)测试EUT证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐升高至40 （温度变化速率在5 min内的平均值不大于1 /min），保持此温度直至EUT达到温度稳定；4)开始加湿，在2 h内将湿度调到90%；5)在湿度达到90%后，停止加湿，接通EUT电源，保持2 h后，重复测试步骤2）；6)关闭EUT的电源，将试验箱的湿度逐渐降至73%，然后再将试验箱的温度逐渐降至室温（温度变化速率在5 min内的平均值不大于1 /min），待EUT达到温度稳定后，重复测试步骤2）。b)测试结果：1)步骤2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤5)：证书签发功能的测试结果符合6.2.1的要求；3)步骤6)：证书签发功能的测试结果符合6.2.1的要求。6.7电磁兼容性测试电磁兼容性测试方法和判断准则应符合GB 19286的规定。6.8电气安全测试电气安全测试方法和判断准则应符合GB/T 9813.2中5.5的规定。7