T_WAPIA 052.5-2023 无线局域网设备技术规范 第5部分：证书签发服务器.docx

《T_WAPIA 052.5-2023 无线局域网设备技术规范 第5部分：证书签发服务器.docx》由会员分享，可在线阅读，更多相关《T_WAPIA 052.5-2023 无线局域网设备技术规范 第5部分：证书签发服务器.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学兔兔标准下载ICS35.180CCSL63团体标准T/WAPIA052.52023代替GB/T15843.32008无线局域网设备技术规范第5部分：证书签发服务器TechnicalspecificationforWLANequipmentPart5:Certificateissueservers2023-12-28发布2023-12-28实施中关村无线网络安全产业联盟发布学标准兔兔下载学标准兔兔下载学兔兔标准下载T/WAPIA052.52023目次前言.III引言.V1范围.12规范性引用文件.13定义和术语.14缩略语.15技术要求.15.1基本要求.15.2物理接口要求.15.3功能要求

2、.15.4信息安全要求.25.5物理安全要求.25.6管理和维护要求.35.7可靠性要求.35.8环境适应性要求.35.9电磁兼容性要求.35.10电气安全要求.36测试方法.36.1测试条件.46.2功能测试.46.3安全测试.66.4管理和维护测试.66.5可靠性测试.66.6环境适应性测试.66.7电磁兼容性测试.76.8电气安全测试.7I学标准兔兔下载学兔兔标准下载T/WAPIA052.52023前言本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件是T/WAPIA052无线局域网设备技术规范的第2部分。T/WAPIA052已经发布了以

3、下部分：第2部分：终端；第3部分：接入点和接入控制器；第4部分：鉴别服务器；第5部分：证书签发服务器。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村无线网络安全产业联盟与信息化部宽带无线IP标准工作组联合提出。本文件由无线网络安全标准化委员会归口。本文件起草单位：中关村无线网络安全产业联盟、北京数字认证股份有限公司、无线网络安全技术国家工程研究中心、西安芯语慧联信息科技有限公司、江苏省电子信息产品质量监督检验研究院、西安西电捷通无线网络通信股份有限公司、锐捷网络股份有限公司、国家无线电监测中心检测中心、深圳市国电科技通信有限公司、北京智芯微电子科技有限

4、公司、北京兴汉网际股份有限公司、山东华辰泰尔信息科技股份有限公司、工业和信息化部宽带无线IP标准工作组。本文件主要起草人：王立华、刘婷、张璐璐、侯鹏亮、简练、黄振海、葛珊、于双双、童伟刚、翁祖勇、潘琪、张国强、徐梓郡、卢杰、祝张睿、郑骊、周园、刘剑昕、尹玉昂、陈晓龙、李晓华、徐书明、胡霄亮、范小伟、耿震雷、李政远、胡敬财。本文件为首次制定。III学标准兔兔下载学兔兔标准下载T/WAPIA052.52023引言随着无线局域网应用领域的扩展，无线局域网产品类型也逐渐丰富，从无线终端、无线接入点、鉴别服务器等典型产品发展到包括接入控制器、证书签发服务器等在内的系列产品，从独立的无线局域网设备逐步发展

5、到集成或内置了无线局域网设备的产品。因此，亟需在GB15629.11（所有部分）的基础上，制定针对无线局域网设备的扩展子项规范，规定无线局域网设备的功能、性能以及空中接口物理层等的技术要求与测试方法。T/WAPIA052拟由五个部分构成。第1部分：总则。目的在于确立无线局域网设备的分类和基本要求等内容。第2部分：终端。目的在于确立终端的功能、性能以及空中接口物理层等的技术要求与测试方法。第3部分：接入点和接入控制器。目的在于确立接入点和接入控制器的功能、性能、操作管理维护等的技术要求和测试方法。第4部分：鉴别服务器。目的在于确立鉴别服务器的功能、性能、操作管理维护等的技术要求和测试方法。第5部

6、分：证书签发服务器。目的在于确立证书签发服务器的功能、性能、操作管理维护等的技术要求和测试方法。V学兔兔标准下载T/WAPIA052.52023无线局域网设备技术规范第5部分：证书签发服务器1范围本文件规定了无线局域网设备证书签发服务器的功能、性能、操作管理维护等技术要求和测试方法。本文件适用于无线局域网设备证书签发服务器的设计、研发和测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB19286电信网络设备的电磁兼容性要求及测量方法GM

7、/T0014数字证书认证系统密码协议规范GB/T9813.22016计算机通用规范第2部分：便携式微型计算机GB/T20518信息安全技术公钥基础设施数字证书格式T/WAPIA013.5WAPI证书管理第5部分：证书格式规范T/WAPIA038信息安全技术终端实体证书管理3定义和术语本文件没有需要界定的术语和定义。4缩略语下列缩略语适用于本文件。AP接入点（accesspoint）AS鉴别服务器（authenticationserver）CIS证书签发服务器（certificateissueservice）CRL证书吊销列表（certificaterevocationlist）MAC媒体访问控

8、制（mediumaccesscontrol）MTBF平均故障间隔时间（meantimebetweenfailures）STA站点（station）WAPI无线局域网鉴别与保密基础结构（WLANauthenticationandprivacyinfrastructure）EUT被测设备（equipmentundertest）5技术要求5.1基本要求CIS签发的证书应符合GB/T20518所规定的X.509数字证书的基本格式和T/WAPIA013.5所规定的数据项。5.2物理接口要求物理接口要求包括：a)以太网接口：应有1个10/100/1000BaseT以太网接口，应符合GB/T15629.3的

9、规定，应支持使用直连网线进行连接，应具备自动校验连接网线的功能，应具备1个或多个千兆光口；b)串口：应具备1个RJ45串口；c)USB接口：应具备1个USB接口，符合USB2.0或USB3.0要求；d)显示接口：至少应具备1个显示接口，如：VGA、DVI、HDMI等。5.3功能要求1学兔兔标准下载T/WAPIA052.520235.3.1证书签发证书签发要求包括：a)CIS应能对证书进行签发操作，包括生成和签发证书；b)CIS应能下载签发完毕的证书；c)CIS应能自定义证书的有效期；d)CIS宜能在线签发证书；e)CIS在线签发实体证书时宜使用符合T/WAPIA038所规定的管理协议和安全传输

10、机制。5.3.2CRL签发CIS应能根据CRL签发策略签发CRL文件，并具备CRL查询和下载功能。5.3.3证书更新CIS应能为已添加的设备重新签发证书。5.3.4证书查询CIS应能按证书序列号对证书查询，能按证书持有者名称对证书查询。5.3.5证书吊销CIS应具备证书吊销功能，能按证书持有者名称、证书序列号等方式对证书吊销和批量吊销。5.3.6证书状态查询CIS应具备实时证书状态查询功能。5.3.7统计分析功能统计分析功能要求包括：a)可对签发证书情况进行统计分析，包括已签发、待签发、已更新、已吊销等；b)可按照设备类型进行证书签发统计。5.3.8设备信息管理CIS应具备设备信息管理功能，能

11、分别对STA和AP进行信息管理，包括STA和AP的设备信息、MAC地址信息等，能对设备信息进行增加、删除、更改和查询操作。5.3.9授权管理CIS应具备设备分组管理功能，能对设备分组进行增加、删除、更改和查询操作，能基于组创建授权策略，能直接为STA或AP设备进行授权。5.3.10数据备份和恢复CIS应具备数据备份和恢复功能，能实现数据的备份与恢复。5.3.11证书容量CIS签发的有效证书数量应不低于5000张。5.3.12与AS安全通信功能CIS与AS之间涉及证书、密钥等数据的跨网络通信，应符合GM/T0014规定的基于密码技术进行安全保护的相关协议。5.3.13热备要求CIS应能1:1备份

12、，故障倒换时不影响业务正常运行。5.4信息安全要求5.4.1系统要求CIS所使用的操作系统应进行安全加固，关闭所有不需要的端口和服务。5.4.2密码算法CIS应使用国家密码管理主管部门批准的用于无线局域网的算法。5.4.3安全管理CIS应遵循三权分立原则，设置管理员权限，具有管理权限的管理员可进行管理操作，管理操作应具备日志审计功能。5.5物理安全要求2环境条件参数类型工作环境存储环境温度040-4055相对湿度10%90%（非凝结）大气压86kPa106kPa标学兔兔准下载T/WAPIA052.52023物理安全要求包括：a)CIS在设计、硬件配置等方面要采取相应的保护措施，实现设备基本的物

13、理安全防护功能；b)宜具备双电源备份功能，电源故障时及时切换供电，实现CIS设备供电不间断。5.6管理和维护要求5.6.1管理员管理管理员管理要求包括：a)应提供系统初始化管理员凭证，可在管理界面增加或删除管理员；b)管理员凭证宜具备多因素身份认证方式。5.6.2日志要求日志要求包括：a)日志应记录事件发生的时间、事件的操作者、操作类型及操作结果等信息；b)应能按时间、操作者、操作类型等对日志进行分类或综合查询；c)应提供审计管理的界面，能够对事件发生的时间、事件的操作者、操作类型及操作结果等信息进行审计。5.7可靠性要求使用平均失效间隔工作时间（MTFB）衡量终端的可靠性水平。终端的m1值（

14、MTBF的不可接受值）不低于10000h。5.8环境适应性要求证书签发服务器的环境适应性要求应与表1相符。表1环境适应性要求5.9电磁兼容性要求证书签发服务器的电磁兼容性应符合GB19286的规定。5.10电气安全要求证书签发服务器的电气安全应符合GB/T9813.2中4.5的规定。6测试方法CIS功能测试基本连接见图1。图1CIS功能测试基本连接图3学兔兔标准下载T/WAPIA052.520236.1测试条件本文件中除环境试验外，其他测试均应在下述环境条件下进行。温度：1535。相对湿度：25%75%。大气压：86kPa106kPa。6.2功能测试6.2.1证书签发测试步骤和判定准则如下：a

15、)测试步骤：1)在CIS上为STA1生成一个X.509v3证书，验证生成证书时可否选择有效期，验证证书能否下载；2)在CIS上为AP生成一个X.509v3证书，验证生成证书时可否选择有效期，验证证书能否下载；3)在CIS上为STA1生成一个X.509v3证书，验证是否可以绑定STA1的MAC地址；4)在CIS上为AP生成一个X.509v3证书，验证是否可以绑定AP的MAC地址。b)判定准则：1)步骤1)：CIS能够生成X.509v3证书，生成证书时可以选择有效期，能实现证书下载；2)步骤2)：CIS能够生成X.509v3证书，生成证书时可以选择有效期，能实现证书下载；3)步骤3)：CIS能够生

16、成X.509v3证书，生成证书时可以绑定STA1的MAC地址；4)步骤4)：CIS能够生成X.509v3证书，生成证书时可以绑定AP的MAC地址。6.2.2CRL签发测试步骤和判定准则如下：a)测试步骤：1)在CIS上验证已签发的证书是否可以进行吊销并记录到CRL中；2)在CIS上CRL管理界面，验证是否可以下载CRL文件。b)判定准则：1)步骤1)：在CIS上可以对已签发的证书进行吊销并记录到CRL中；2)步骤2)：在CIS上CRL管理界面，可以下载CRL文件。6.2.3证书更新测试步骤和判定准则如下：a)测试步骤：1)在CIS上为STA1生成一个X.509v3证书，验证能否重新颁发；2)在

17、CIS上为AP生成一个X.509v3证书，验证能否重新颁发。b)判定准则：1)步骤1)：在CIS上为STA1生成一个X.509v3证书，可以重新签发；2)步骤2)：在CIS上为AP生成一个X.509v3证书，可以重新签发。6.2.4证书查询测试步骤和判定准则如下：a)测试步骤：1)在CIS的证书管理界面输入要查询的证书序列号，观察查询到的证书是否与要查询一致；2)在CIS的证书管理界面输入要查询的证书的持有者名称，观察查询到的证书是否与要查询一致。b)判定准则：1)步骤1)：查询结果与输入的证书序列号是相同的证书；2)步骤2)：查询结果与输入的证书持有者名称是相同的证书。4学兔兔标准下载T/W

18、APIA052.520236.2.5证书吊销测试步骤和判定准则如下：a)测试步骤：在CIS上按证书持有者名称等方式查找到证书，验证是否可以对证书进行吊销操作。b)判定准则：在CIS上按证书持有者名称等方式查找到证书，可以对证书进行吊销操作。6.2.6证书状态查询a)测试步骤：在CIS上验证是否可以查看到证书的状态，如“已过期”、“已吊销”。b)判定准则：在CIS上可以查看到证书的状态。6.2.7统计分析功能测试步骤和判定准则如下：a)测试步骤：1)在CIS上选择已签发状态，验证是否可以查询到已签发证书的数量以及设备名称等信息；2)在CIS上选择待签发状态，验证是否可以查询到待签发证书的数量以及

19、设备名称等信息；3)在CIS上选择已吊销状态，验证是否可以查询到已吊销证书的数量以及设备名称等信息；4)在CIS上选择已更新状态，验证是否可以查询到已更新证书的数量以及设备名称等信息。b)判定准则：1)步骤1)：在CIS上选择已签发状态，可以查询到已签发证书的数量以及设备名称等信息；2)步骤2)：在CIS上选择待签发状态，可以查询到待签发证书的数量以及设备名称等信息；3)步骤3)：在CIS上选择已吊销状态，可以查询到已吊销证书的数量以及设备名称等信息；4)步骤4)：在CIS上选择已更新状态，可以查询到已更新证书的数量以及设备名称等信息。6.2.8设备信息管理测试步骤和判定准则如下：a)测试步骤

20、：1)在CIS上验证是否可以删除、修改、增加STA设备信息以及MAC地址；2)在CIS上验证是否可以删除、修改、增加AP设备信息以及MAC地址。b)判定准则：1)步骤1)：在CIS上可以删除、修改、增加STA设备信息以及MAC地址；2)步骤2)：在CIS上可以删除、修改、增加AP设备信息以及MAC地址。6.2.9授权管理测试步骤和判定准则如下：a)测试步骤：验证CIS中是否实现为STA或AP设备进行绑定授权。b)判定准则：在CIS上已经实现为STA或AP设备进行绑定授权。6.2.10数据备份和恢复测试步骤和判定准则如下：a)测试步骤：1)在CIS上通过命令行或WEB方式登录进行管理和维护；2)

21、在CIS上进行数据备份处理；3)在CIS上修改目前的数据，并用步骤b备份的数据文件进行数据恢复，查看数据情况。b)判断准则：1)步骤2)：应能完成备份；2)步骤3)：应能恢复数据。6.2.11证书容量测试步骤和判定准则如下：a)测试步骤：1)通过配置文件，批量导入数字证书；2)登录CIS界面，查看证书数量是否满足要求，同时随机抽取证书查看内容是否正确。5学兔兔标准下载T/WAPIA052.52023b)判定准则：1)步骤2)：证书容量应不低于5000张，证书内容应正确。6.2.12热备测试测试步骤和判定准则如下：a)测试步骤：1)配置主用AS和备用AS；2)配置STA接入AP；3)断开主用AS

22、的网络连接；4)STA重新尝试接入AP。b)判定准则：1)步骤2)：STA应接入AP；2)步骤3)：备用AS转为主用AS；3)步骤4)：STA重新接入AP。6.3信息安全测试6.3.1密码检测测试步骤和判定准则如下：a)测试步骤：CIS使用给定的密钥对待签名消息调用密码算法签名后，检测平台对签名结果进行验签。b)判定准则：检测平台对签名结果验签通过。6.4管理和维护测试6.4.1管理员管理测试步骤和判定准则如下：a)测试步骤：1)操作人员通过命令或者WEB页面方式登录到CIS；2)验证是否可以在管理界面增加或删除管理员；3)验证管理员是否可以使用多因素方式登录；4)验证是否可以对管理员设置角色

23、以及访问权限。b)判定准则：1)步骤2)：可以增加或删除管理员；2)步骤3)：管理员可以使用多因素方式登录；3)步骤4)：可以对管理员设置角色以及访问权限。6.4.2日志管理测试步骤和判定准则如下：a)测试步骤：1)操作人员通过命令行或WEB方式登录CIS进行管理和维护；2)操作人员查看CIS的日志审计记录信息。b)判定准则：1)步骤2)：能够查看安全日志，可以查看到管理员的操作行为日志并进行审计。6.5可靠性测试可靠性测试方法和判断准则应符合GB/T9813.2的规定。6.6环境适应性测试6.6.1低温试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(1535)下，放入试验箱

24、，接通电源；6学兔兔标准下载T/WAPIA052.520232)测试EUT的证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐降低至极限低温（温度变化速率在5min内的平均值不大于1/min），保持此温度直至EUT达到温度稳定。接通EUT电源，保持恒温2h后，重复步骤2）；4)关闭EUT的电源，将试验箱的温度逐渐升至室温（温度变化速率在5min内的平均值不大于1/min），待EUT达到温度稳定后，重复步骤2）。b)判定准则：1)步骤2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤3)：证书签发功能的测试结果符合6.2.1的要求；3)步

25、骤4)：证书签发功能的测试结果符合6.2.1的要求。6.6.2高温试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(1535)下，放入试验箱，接通电源；2)测试EUT证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐升高至极限高温（温度变化速率在5min内的平均值不大于1/min），保持此温度直至EUT达到温度稳定，接通EUT电源，保持恒温2h后，重复测试步骤2）；4)关闭EUT的电源，将试验箱的温度逐渐降至室温（温度变化速率在5min内的平均值不大于1/min），待EUT达到温度稳定后，重复测试步骤2）。b)判定准则：1)步骤

26、2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤3)：证书签发功能的测试结果符合6.2.1的要求；3)步骤4)：证书签发功能的测试结果符合6.2.1的要求。6.6.3恒定湿热试验测试步骤和判定准则如下：a)测试步骤：1)将EUT在室温条件(1535)下，放入试验箱，接通电源；2)测试EUT证书签发功能，具体测试方法参见本文件的6.2.1节；3)关闭EUT的电源，启动试验箱，使箱内温度逐渐升高至40（温度变化速率在5min内的平均值不大于1/min），保持此温度直至EUT达到温度稳定；4)开始加湿，在2h内将湿度调到90%；5)在湿度达到90%后，停止加湿，接通EUT电源，保持2h后，重复测试步骤2）；6)关闭EUT的电源，将试验箱的湿度逐渐降至73%，然后再将试验箱的温度逐渐降至室温（温度变化速率在5min内的平均值不大于1/min），待EUT达到温度稳定后，重复测试步骤2）。b)测试结果：1)步骤2)：证书签发功能的测试结果符合6.2.1的要求；2)步骤5)：证书签发功能的测试结果符合6.2.1的要求；3)步骤6)：证书签发功能的测试结果符合6.2.1的要求。6.7电磁兼容性测试电磁兼容性测试方法和判断准则应符合GB19286的规定。6.8电气安全测试电气安全测试方法和判断准则应符合GB/T9813.2中5.5的规定。7