T-WAPIA 052.5-2023 无线局域网设备技术规范 第5部分：证书签发服务器

学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载ICS

35.180学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载CCS

L

63

—2023代替GB/T

－2008无线局域网设备技术规范第

5

部分：证书签发服务器Technical

WLAN

equipmentPart5:

servers2023-12-28

发布 2023-12-28

实施中关村无线网络安全产业联盟 发布学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载前言

................................................................................

III引言

..................................................................................

V1

范围

................................................................................

12

规范性引用文件

......................................................................

13

定义和术语

..........................................................................

14

缩略语

..............................................................................

15

技术要求

............................................................................

15.1

基本要求

........................................................................

15.2

物理接口要求

....................................................................

15.3

功能要求

........................................................................

15.4

信息安全要求

....................................................................

25.5

物理安全要求

....................................................................

25.6

管理和维护要求

..................................................................

35.7

可靠性要求

......................................................................

35.8

环境适应性要求

..................................................................

35.9

电磁兼容性要求

..................................................................

35.10

电气安全要求

...................................................................

36

测试方法

............................................................................

36.1

测试条件

........................................................................

46.2

功能测试

........................................................................

46.3

安全测试

........................................................................

66.4

管理和维护测试

..................................................................

66.5

可靠性测试

......................................................................

66.6

环境适应性测试

..................................................................

66.7

电磁兼容性测试

..................................................................

76.8

电气安全测试

....................................................................

7学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 本文件按照

GB/T

1.1—《标准化工作导则

第

1

部分：标准化文件的结构和起草规则》的规定起草。本文件是

《无线局域网设备技术规范》的第

2

部分。T/WAPIA

已经发布了以下部分：— 第

2

部分：终端；— 第

3

部分：接入点和接入控制器；— 第

4

部分：鉴别服务器；— 第

5

部分：证书签发服务器。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村无线网络安全产业联盟与信息化部宽带无线IP标准工作组联合提出。本文件由无线网络安全标准化委员会归口。息科技股份有限公司、工业和信息化部宽带无线IP标准工作组。明、胡霄亮、范小伟、耿震雷、李政远、胡敬财。本文件为首次制定。III学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学ｗｗ．ｂｚｆｘｗ．ｃｏｍ标准兔兔ｗ下载学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 设备逐步发展到集成或内置了无线局域网设备的产品。因此，亟需在

15629.11（所有部分）的基础等的技术要求与测试方法。T/WAPIA

拟由五个部分构成。— 第

1

部分：总则。目的在于确立无线局域网设备的分类和基本要求等内容。— 第

2

法。— 第

3

维护等的技术要求和测试方法。— 第

4

和测试方法。— 第

5

技术要求和测试方法。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载无线局域网设备技术规范

部分：证书签发服务器1 范围本文件适用于无线局域网设备证书签发服务器的设计、研发和测试。2 规范性引用文件文件。GB

19286

电信网络设备的电磁兼容性要求及测量方法GM/T

0014

数字证书认证系统密码协议规范GB/T

—2016

计算机通用规范

第2部分：便携式微型计算机GB/T

20518

信息安全技术

公钥基础设施

数字证书格式T/WAPIA

013.5

WAPI证书管理

第5部分：证书格式规范T/WAPIA

信息安全技术

终端实体证书管理3 定义和术语本文件没有需要界定的术语和定义。4 缩略语下列缩略语适用于本文件。AP 接入点（access

point）AS 鉴别服务器（

server）证书签发服务器（

issue

service） 证书吊销列表（

revocation

list） 媒体访问控制（medium

）MTBF平均故障间隔时间（mean

time

failures） 站点（station）WAPI 无线局域网鉴别与保密基础结构（WLAN

） 被测设备（equipment

test）5 技术要求5.1 基本要求CIS签发的证书应符合

20518所规定的X.509数字证书的基本格式和

013.5所规定的数据项。5.2物理接口要求物理接口要求包括：a) 以太网接口：应有1个

Base—T

以太网接口，应符合GB/T

的规定，应支持使用直连网线进行连接，应具备自动校验连接网线的功能，应具备1个或多个千兆光口；b) 串口：应具备1个RJ45c) USB接口：应具备1个USB接口，符合USB2.0或USB3.0要求；d) 显示接口：至少应具备1个显示接口，如：VGA、DVI、HDMI等。5.3 功能要求学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载5.3.1 证书签发证书签发要求包括：a) CIS应能对证书进行签发操作，包括生成和签发证书；b) CIS应能下载签发完毕的证书；c) CIS应能自定义证书的有效期；d) CIS宜能在线签发证书；e) CIS在线签发实体证书时宜使用符合

所规定的管理协议和安全传输机制。5.3.2 CRL

CIS应能根据CRL签发策略签发CRL查询和下载功能。5.3.3 证书更新应能为已添加的设备重新签发证书。5.3.4 证书查询CIS应能按证书序列号对证书查询，能按证书持有者名称对证书查询。5.3.5 证书吊销CIS应具备证书吊销功能，能按证书持有者名称、证书序列号等方式对证书吊销和批量吊销。5.3.6证书状态查询CIS应具备实时证书状态查询功能。5.3.7 统计分析功能统计分析功能要求包括：a) 可对签发证书情况进行统计分析，包括已签发、待签发、已更新、已吊销等；b) 可按照设备类型进行证书签发统计。5.3.8 设备信息管理CIS和APSTA和AP的设备信息、MAC地址信息等，能对设备信息进行增加、删除、更改和查询操作。5.3.9授权管理CIS应具备设备分组管理功能，能对设备分组进行增加、删除、更改和查询操作，能基于组创建授权策略，能直接为或设备进行授权。5.3.10 数据备份和恢复CIS应具备数据备份和恢复功能，能实现数据的备份与恢复。5.3.11 证书容量CIS签发的有效证书数量应不低于5000张。5.3.12 与

AS

安全通信功能CIS与GM/T

0014规定的基于密码技术进行安全保护的相关协议。5.3.13 热备要求CIS应能5.4 信息安全要求5.4.1 系统要求CIS所使用的操作系统应进行安全加固，关闭所有不需要的端口和服务。5.4.2 密码算法CIS应使用国家密码管理主管部门批准的用于无线局域网的算法。5.4.3 安全管理CIS应遵循三权分立原则，设置管理员权限，具有管理权限的管理员可进行管理操作，管理操作应具备日志审计功能。5.5 物理安全要求环境条件参数类型工作环境存储环境温度0

℃～40

℃-40

55

℃相对湿度10%～（非凝结）大气压86

kPa～

．ｃｘｗｏｍ标学兔兔ｗｗｗ．ｂｚｆ准下载T/WAPIA

052.5—2023．ｃｘｗｏｍ标学兔兔ｗｗｗ．ｂｚｆ准下载物理安全要求包括：a) CIS在设计、硬件配置等方面要采取相应的保护措施，实现设备基本的物理安全防护功能；b) 宜具备双电源备份功能，电源故障时及时切换供电，实现CIS设备供电不间断。5.6 管理和维护要求5.6.1 管理员管理管理员管理要求包括：a) 应提供系统初始化管理员凭证，可在管理界面增加或删除管理员；b) 管理员凭证宜具备多因素身份认证方式。5.6.2 日志要求日志要求包括：a) 日志应记录事件发生的时间、事件的操作者、操作类型及操作结果等信息；b) 应能按时间、操作者、操作类型等对日志进行分类或综合查询；c) 进行审计。5.7 可靠性要求使用平均失效间隔工作时间（MTFB）衡量终端的可靠性水平。终端的m1MTBF的不可接受值）不低于10000

h。5.8 环境适应性要求证书签发服务器的环境适应性要求应与表1相符。表1

环境适应性要求5.9 电磁兼容性要求证书签发服务器的电磁兼容性应符合GB5.9 电磁兼容性要求5.10 电气安全要求证书签发服务器的电气安全应符合GB/T

中的规定。6 测试方法CIS功能测试基本连接见图1。图1 CIS

功能测试基本连接图学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载6.1 测试条件本文件中除环境试验外，其他测试均应在下述环境条件下进行。温度：15

℃～

相对湿度：25%～75%。大气压：86

kPa～

。6.2 功能测试6.2.1 证书签发测试步骤和判定准则如下：a) 测试步骤：1) 在CISSTA1生成一个

v3证书，验证生成证书时可否选择有效期，验证证书能否下载；2) 在CISAP生成一个

v3证书，验证生成证书时可否选择有效期，验证证书能否下载；3) 在CIS上为STA1生成一个

v3证书，验证是否可以绑定STA1的地址；4) 在CIS上为生成一个

v3证书，验证是否可以绑定AP的地址。b) 判定准则：1) 步骤1)：能够生成

v3证书，生成证书时可以选择有效期，能实现证书下载；2)步骤2)：能够生成

v3证书，生成证书时可以选择有效期，能实现证书下载；3) 步骤3)：能够生成

v3证书，生成证书时可以绑定STA1的地址；4)步骤4)：能够生成

v3证书，生成证书时可以绑定AP的MAC地址。6.2.2 CRL

测试步骤和判定准则如下：a) 测试步骤：1) 在CIS上验证已签发的证书是否可以进行吊销并记录到CRL中；2) 在CIS上CRL管理界面，验证是否可以下载CRL文件。b)判定准则：1) 步骤1)：在CIS上可以对已签发的证书进行吊销并记录到2) 步骤2)：在CIS上CRL管理界面，可以下载CRL文件。6.2.3 证书更新测试步骤和判定准则如下：a)

测试步骤：1) 在CIS上为STA1生成一个

v3证书，验证能否重新颁发；2) 在CIS上为生成一个

v3证书，验证能否重新颁发。b)

判定准则：1) 步骤1)：在CIS上为STA1生成一个X.509

v3证书，可以重新签发；2)步骤2)：在CIS上为生成一个X.509

v3证书，可以重新签发。6.2.4 证书查询测试步骤和判定准则如下：a)

测试步骤：1) 在CIS的证书管理界面输入要查询的证书序列号，观察查询到的证书是否与要查询一致；2) 在CIS的证书管理界面输入要查询的证书的持有者名称，观察查询到的证书是否与要查询一致。b)

判定准则：1) 步骤1)：查询结果与输入的证书序列号是相同的证书；2) 步骤2)：查询结果与输入的证书持有者名称是相同的证书。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载6.2.5证书吊销测试步骤和判定准则如下：a)

CISb)

判定准则：在上按证书持有者名称等方式查找到证书，可以对证书进行吊销操作。6.2.6 证书状态查询a)

测试步骤：在上验证是否可以查看到证书的状态，如“已过期”、“已吊销”。b)

判定准则：在上可以查看到证书的状态。6.2.7 统计分析功能测试步骤和判定准则如下：a)

测试步骤：1) 在CIS上选择已签发状态，验证是否可以查询到已签发证书的数量以及设备名称等信息；2) 在CIS上选择待签发状态，验证是否可以查询到待签发证书的数量以及设备名称等信息；3) 在CIS上选择已吊销状态，验证是否可以查询到已吊销证书的数量以及设备名称等信息；4) 在CIS上选择已更新状态，验证是否可以查询到已更新证书的数量以及设备名称等信息。b)

判定准则：1) 步骤1)：在CIS上选择已签发状态，可以查询到已签发证书的数量以及设备名称等信息；2) 步骤2)：在CIS上选择待签发状态，可以查询到待签发证书的数量以及设备名称等信息；3) 步骤3)：在CIS上选择已吊销状态，可以查询到已吊销证书的数量以及设备名称等信息；4) 步骤4)：在CIS上选择已更新状态，可以查询到已更新证书的数量以及设备名称等信息。6.2.8 设备信息管理测试步骤和判定准则如下：a)

测试步骤：1) 在CIS上验证是否可以删除、修改、增加设备信息以及地址；2) 在CIS上验证是否可以删除、修改、增加AP设备信息以及地址。b)

判定准则：1)步骤1)：在CIS上可以删除、修改、增加设备信息以及地址；2)步骤2)：在CIS上可以删除、修改、增加AP设备信息以及地址。6.2.9 授权管理测试步骤和判定准则如下：a)

测试步骤：验证CIS中是否实现为STA或AP设备进行绑定授权。b)

判定准则：在上已经实现为或设备进行绑定授权。6.2.10 数据备份和恢复测试步骤和判定准则如下：a)

测试步骤：1) 在CIS上通过命令行或

方式登录进行管理和维护；2) 在CIS上进行数据备份处理；3) 在CIS上修改目前的数据，并用步骤b备份的数据文件进行数据恢复，查看数据情况。b)

判断准则：1) 步骤2)：应能完成备份；2) 步骤3)：应能恢复数据。6.2.11 证书容量测试步骤和判定准则如下：a)

测试步骤：1) 通过配置文件，批量导入数字证书；2) 登录

界面，查看证书数量是否满足要求，同时随机抽取证书查看内容是否正确。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载b)

判定准则：1) 步骤2)：证书容量应不低于5000张，证书内容应正确。6.2.12 热备测试测试步骤和判定准则如下：a)

测试步骤：1) 配置主用AS和备用AS；2) 配置AP；3) 断开主用AS的网络连接；4) STA重新尝试接入AP。b)

判定准则：1) 步骤2)：应接入；2)步骤3)：备用AS转为主用；3) 步骤4)：重新接入AP。6.3 信息安全测试6.3.1 密码检测测试步骤和判定准则如下：a)

测试步骤：使用给定的密钥对待签名消息调用密码算法签名后，检测平台对签名结果进行验签。b)

判定准则：检测平台对签名结果验签通过。6.4 管理和维护测试6.4.1 管理员管理测试步骤和判定准则如下：a)

测试步骤：1) 操作人员通过命令或者页面方式登录到CIS；2) 验证是否可以在管理界面增加或删除管理员；3) 验证管理员是否可以使用多因素方式登录；4) 验证是否可以对管理员设置角色以及访问权限。b)

判定准则：1) 步骤2)：可以增加或删除管理员；2) 步骤3)：管理员可以使用多因素方式登录；3) 步骤4)：可以对管理员设置角色以及访问权限。6.4.2 日志管理测试步骤和判定准则如下：a)

测试步骤：1) 操作人员通过命令行或方式登录

进行管理和维护；2) 操作人员查看的日志审计记录信息。b)

判定准则：1) 步骤2)：能够查看安全日志，可以查看到管理员的操作行为日志并进行审计。6.5 可靠性测试可靠性测试方法和判断准则应符合GB/T

的规定。6.6 环境适应性测试6.6.1 低温试验测试步骤和判定准则如下：a) 测试步骤：1) 将EUT在室温条件(15

35

℃)下，放入试验箱，接通电源；学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/WAPIA

052.5—2023学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载2) 测试的证书签