【国家标准(GB)】 健康信息学 公钥基础设施(PKI) 第2部分: 证书轮廓

ICS 35. 240. 80
中华人民共和国国家标准化指导性技术文件GB/Z 21716.2—2008
健康信息学
公钥基础设施（PKI）
第2部分：证书轮廓
Health informatics-Public Key Infrastructure (PKI)-Part 2:Cerlificate profile
2008-04-11发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
规范性引用文件
3 术语和定义
4璐略语
医疗保健证书策略
医疗保健证书类型
CA证书
交叉/桥接证书
端实体证书
般证书要求
证书的符合性
各类证书的通用字段
通用字段规范
6. 4对各种医疗保健证书类型的要求7证书扩展的使用·
--般扩履
专用主体日录同性
资格证书声明扩展
7. 5对每种医疗行业证书类型的要求附录A
A.1可言
A,2 水例 1:消费者证书轮廊
A.3示例2:非正规链康专业人员证书轮廊A. 4 示例 3:正规健康专业人员证书轮率A.5水例4：受托医疗保健提供方证移轮廉A.6示例5：支持组雇员证书轮邸A. 7示例 6:组织证书轮廊
A.8示例7:AC轮廊
A. 9示例 8.CA 证书轮邸
A.10示例9:桥铵证卡轮廊
参考文献
KAOIKAa
CB/Z 21716,2--2008
GB/2.21716《健康信息学公销基础设施\分为3个部分：第1部分：数字证书服务综述
第2部分：证书轮：
第3郝分;认证机构的策略管理。本部分为GB/Z21716的第2部分。GB/7. 21716.2—2008
本部分参照1SO17090-2（DIS)健康息学公钥基础设施（PKI）第2部分：证书轮制定，其主要技术内穿与ISC)1709D-2(D1S)一致，相对原文而言，本部分仅进行了少原修改，包括：根据中国国情，将正文中示例包括的国家名称.单位名称等修改为中国的中文名称；一不改变技术内容的编辑性修改。本部分的附录 A 为资料性术吡。本部分由中国标推化研究院提
本部分由中国标准化研究院归口本部分起草单位：中国标准化研究院本部分主要起草人：董连续、任冠华、陈煌、刘松。GB/721716.2--2008
为了降低费用和成本，卫生行业正面临者从纸质处理向白动化电子处理转变的挑战。新的医疗保健模式增加了对专业医疗保健提供督之间和突破传统机构界限来其享患者息的需求。一般求说，每个公民的键康信息都可以通过电子邮件、远程数据库访问、电数据交换以及其他成用来进行交换。五联网提供了经济且便于访问的信息交换方式，但它也是一个不安全的媒介，这就要求采取一定的措施来保护信意的秘性和保密性。未经授校的访问，无论是有癌的还是无意的，都会增加对健康信息安全的威脚。医疗保健系统有必要便用可靠信息安至服务来降低采经授权访问的风险，卫生行业如何以种经济实用的方式来对互联网中传输的数据进行适当的保护？针对这个问题，目前人们正在尝试利用公钥基础设施（PKI)和数宁证书技术来应对这一挑战。正确配置数字证书要求将技术，策略和誉理过程绑楚在一起，利用“公钥密码算法”来保扩信息，利用“证书”来确认个人或实体的身份，从而实现在不安全的环境中对敏感数据的安全交换。在卫生领域中，这利技术使用鉴别、加密和数字签名等方法来保证对个人健康记录的安全访间和传输，以满延临床和管理打面的需费，通过效学证记产所换供的服务（包括期密、信息完整性和数孚签名能够解我很多安全向题。为此，世界上许多组织已经开始使用数字证书。比较典型的·-种情说就是将数字证书与个公认的信息安金标准联合使用。如果在不同组织或不同辖区之间（如为同一个患者提供服务的医院和社区医生之间）需要交换健康倍息，则数字证节技术及其支撑策略，程序,操作的操作性是重要的，实现不同数字证节实施之问的互操作性需要建立个信任框架。在这个架下，负责保扩个人衔息权利的各方要依赖下具体的策略和操作，基至还要依赖下由其他已有机构发行的数学证书的有效性。许多国家正作采用数宇证书来支持国内的安全通信。如果标推的制定活动仅仅局限于国家内部，则不同国蒙之问的边正机模（A和注册机按RA）在策略和序上特产型不一致贯至矛质的地疗。数字证仍有很多方面并不专门用于医疗保健，它们目前仍处于发展防段。此外，一些画婴的标准化工作以改立法支持工作也正在进行当中。另一方面，很多国家的医疗保健提供者正在使用或准备使用数字证书，因此，本导性技术文件的目的是为这些迅速发展的国际虚用提供指导。本指导技术文件描述了一般性技术、操作以及策略方面的游求.以便能够使用数字证书米保护健康情息在领域内部、不同领域之间以及不尚辖区之间逊行交换。本指导性技术文件两最终日的是要建立个能够实现全球互操作的平台。本指导性技术文件主要支持使用数字证书的跨国通借，但也为配置国家性或区域性的医疗保健数字证书提供指导。互联网作为传输媒介正越来越率地被用于在医疗保健组织间传递健康数据，它也是实现跨国的唯一选择。本指导性技术文件的三个部分作为一个整体定义了在卫生行业中如何使用数字证书提供安全服务，包括鉴别、保劳性、数据完整性以及支持数字签名质量的技术能力。本指导性技术文件第1部分规定广卫生领域中使用数字证书的紫本概念，并给山了使用数字证括进行健康信息全通信所需的互操作方案。本指导性技术文件第2部分给出了基于际标×,509 的数字证书的键康专用轮廊以及用于不同证书类型的IETF/RFC32&0卡规定的医疗保键轮哪。添指导样技术文件第3部分用于解决与实施和使用医疗保健数字证书相关的虐理问题，规定广证书策略（CP)的结构和最低要求以及关联认证操作产明的结构。该部分以IETF/RFC3617的相关建议为基础，确定了在健康后息跨国通信的安全策略中所需的源则·还规定了健康方所需的最低毁别的安全性，
KAONTKAa
1范围
康信息学公钥基础设施（PKI）
第2部分：证书轮廓
GB/Z 21716.2--2008
本部分规定了在单独绰织内部，不同红织之间和跨越管鞘界限时医疗保健简息交换所需要的证轮部，本部分还详述了公销基础设施(PKI)数字证书在医疗行业中形成的应用,并侧重描述了其中与证书轮廓相关的医疗保键问题。2规范性引用文件
F列文件中的条款通过GB/Z21716的本部分的引用而成为本部分的条款。凡是注H期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使旧这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。
GB/721716.1-2008
健康信息学公钥基础设施（PKI）第1部分：数字证书服务综述GB/Z21716.32008健康信息学公基础设施（PKI）：第3部分：认证机构的策略管班IETF/RFC3280InternetX,509公钥基础设施证书和CRL轮席IETF/RFC3281针对机构的因特网属性证书轮廊IETF/RFC3739IntarnrtX.509公钥基础设施合格证书轮廊3术语和定义
GB/Z21716.1给出的术语和定义适用于本部分。4缩略语
下列缩略语适旧于本部分。
属性机构
属性证书
认证机构
证书策酪
认证操作声明
证书撤销列表
公镇证书
公钥基础设施
注珊机构
可信第三方
5医疗保健证书策略
5. 1医疗保健证书类型
标识证书应发行给
attributc aurhority
attribulc cortificale
certifieation Ruthorily
certificate policy
certification practice statemcntcertificate revocation list
Public kcy certificate
publie key infrastrueturc
rcgistration authority
trusted third party
二-个人（正规健康专业人员、非正规健康专业人员，受托医疗保健提供者、支持组织的痴员、患者/G5/z 21716.2-2008
消费者)；
组织(医疗保健组织和支持维织)；设备：
-应用。
通过标识证书本身（证书的扩展部分）或关联的A，应可以获取个人和组织的角色信息。不同种类的证书及其关联见1。
公划法本结构
公创证
牌CA证
交矫接证
CA证书
增变体证书
风性证15
图1医疗保使证书类型
5.2CA证书
5. 2. 1根 CA 证书
正民鞋集专业人员
（合格证书）
非正规健瑞专业人员
（将证）
受托医疗保健拟供者
（合格证）
支持组规的座员
（合期证非）
题者和 (或3 消费者
（合券证转）
当证书的主体本身忌一个C人时，使用根CA证书。根证书被自我签名，并用于医疗保健PK1发行证书给包括从CA在内的依赖方。基本约束域指示个证书是否是CA。5. 2. 2 从属 CA 证书
从属 CA证传是对 CA发行的,该CA完全通过另外的高层 CA认证,而高层 CA可对低层 CA或端实体发行证书。
5.3交支/桥接证书
在因特网环境中，期却跨界和跨辖区的医疗行业信任预层（A是不可行的。替代方法是在每个医疗行业领域建立信任孤岛·这些“信任瓶岛”是基下信任特定（A的专业，权限，位置或地区的，而后，每个“信任孤岛”的中枢根CA叮以交更地验证另外的根。在这些情形中，一组CA可以达成在其策略和相关规范产明中其体化的标准的最小集台。如果达成了标准的最小策台，我赖方可以接受自已术领域2
外的证书，这对于跨越国家和脊份管理机构传输信息是非常有效的。GB/Z 21716.2—2008
交更/桥接证书是不间A领域交更验证的证类型。这种证书支持公钢应用的大池围开展，例如医疗行业中安全电子邮件和其他需求。5.4姗实体证书
端实体证书对包括个人组织、应用或设备的实体发行。他们之所以被称为端实体，是因为没有依懿于此证书的更深一层的实体存在。5.4.1个人标识证书
个人标识证书是为证明目的而对个人发行的端实体证书的待定种类。人们公认以下五种类型的医疗保健参与者可作为其个人。
a）正规健康专业人员
证书持有者是健康专业人员。他/她为了暇行其职业范围内的工作，需要有关政府机构给予许可和注册。此类证书可以是资格证朽。5）非正规健康专业人员
证书持有老是健康专业人员，但他/她不属于有关政府机构给了许叫和注册的人员。此类让书可以是资格证书。
受拓医疗保健提供者
证书持有者是在医疗保健社区活动的个人，并且由-个受限医疗保健组织或专业人员主管。此类证书可以是资格证书。
d）支持组织的员
证书持有者是个受庵于某医疗保健组织或支持组织的个人，此类证书可以是资格证书。c）患者/消费者
证书持有者是可能接受、正在接受或已经接受正规或非正规健康专业人员服务的个人。此类证书可以是资格证书。
5.4.2组织标识证书
与医疗行业密切相关的组织可以持有用于识别自身和加密自的的证书。根据IETF/RFC2527的要求，在本帮分中对纸织单元的名称进行了规定。5.4.3设备标识证步
设备可以是计算机务器、医疗设备，例如X光机、重症信号监视设备或需要单独识别和验证的假体设备。
5. 4. 4 应用证书
应用是需要单独识别和验证的计算机信息系统，例如医院的患者管理系统。本部分主要是关于提供者的，旧也认识到在医疗保健白行管理方面患者/消费者将更加需要数学证书可提供的安全服务。
AC是厚的数字签名集合证明集合。A心是类似PK的构造，至要区别是AC不包括公。AC可以包括特定组成员、角色，安全清除和其他有关AC持有者的信息，此类信息不可以用访问控制。AC应符合IETF/RFC3281(针对机构的因特网屑性证书轮廊>的有关规定。在医疗保健行业的环境中，A心可以充当传送机构信息的重要负色。机构信息完全不同于可包括在PKC中的关医疗保健或执照的信息。角色和执照暗示机构水平，面其不身并非机构信息。应注意到对AC的详细规范仍在发展中，而且还应法意AC的详细规范需要在软件工业中更广泛地加以实现。IETF/RFC3281对AC诺法进行了规定。3
GB/Z 21716.2--2008
AC来用下列件：
versian(版本导）用于区分AC的不同版本。如果objcetDigstInf，是现或issucr被标识等同于baseccertificatelp，则共版本成该尼v2。0wner(拥有着）段传递AC持有者的标认。此字段要求来用特定PKC的发行若名称和序列号也可选摔使用一般名称，但禁用对象摘要，通过一般名称本身识别持有者时GrneralNames的使用具有危险，此时公翻刘名称的绑定不够充分，使得拥有者探识以证赶程剧限A的使用。此外，eeralNarmes的某些选项（例妇：IPAddress）不适用命名是角色而不是个人实体的AC持有老。般名称的形式应该限制为被识别的名称、RFC822（电于邮件）地址和（对角色名称的）对象标识符。issuct(发行方)字段传递发行证书的AA的标识。要求使发行商名称和特定的PKC序列号，一般名称的使用随意。
signature（签名）标识了用于数字化签名于AC的加密算法。ictialNumber（序列孕）是唯一在其进供方范围内标识AC的序列号。attrCertValidityPcriod(属性证书有效期限)字段传递时间周期。在此周期内AC是有效的，并以GtnatalizcdTitne格式表示。
此属性字窥包含需验证的证书持有者的属性（如特权）。issucrUniqueID(发行方唯·ID)可用来标认AC的发行+而用发行力的名称进行标识是不充分的。
扩展宁段允许为AC附加新的字段。GB/7.21716,1中8.3对医疗领域中AC的使用进行了详细的规定。5.4.6角色证书
用户AC而以包含对另一个具有附加特权AC的引用，从而提供了实现特权角色的有效机制。很多其有授权需求的环境要求采用针对某些操作特征的基于角色的特极（典型情况延有关基下标识的特权）。这样中请方可以向验证方提交证明申请方特定角色的证据（例如，“管理者\或“购买者\）。据此，验证方也可以辨出其优先程度或必须通过其他手段米发现的有关的声明角色，以便做出通过或失败的授权决定。
以下各项内穿均是可行的：
-任何AA可以定义任何角色的编号：一角色本身和角色的成份可以出不同A人分别进行定义和替理：一为给定角色所设定的特权可以效置在一个或多个AC之中；也可以将角色的成份仅设定为一个与角色相关的特权子集；角危的成份可以被代表；
可以为角色和成份设定任何适当的生命周期。设定一个实体包含个属性，该属性用于断方其实体具有的角色，这种证书其有指间一个定义角色的AC的扩展段（即，角色证书规定作为持有者的角色，Ⅱ包括设定该你色的特权的列表）实体证书的发行方可以与角色证书的发行方无关，可以完全单独管班（终止、取消等等）这些设定，不是所有GeneralName(通用名称)均适用于角也名称，最好是选用对象标识符和区分名。6一般证书要求
6.1证书的符合性
以下要求适用于本部分所规定的全部证书：a）证书应属于X，509第3版规定的证书。1
YKIKAa
CB/Z 21716.2—2008
h）证书应与IETF/RFC3280相·致。仪在与有关IETF/RFC3280的巴知向题建设方案相结合的情况下，方充许偏离IETF/RFC3280。在个人标识方南，证书应符合IETF/RFC3739。仅在与己知问题建议方案相结合的情况下，方充允许偏离IETF/RFC3730。
d）笼名字段应标明所采用的签名算法。证书公钥应根据所采用的算法决定最小举销长度字段。密钥的大小应符合GB/721716.3中7.6.1.5的规定。
）数字密密钥的使用不应与抗抵赖和数字签名的使用相混合。（见7,2.3）以下内容描了图1所标识的所有健康数学证书中的通用要素。这些要素尽通用性的,使用它们可以构成不同种类的证书。
Certilcate =
SIGNED SEQUENCE !
version
serialNumber
signalure
issuer
validity
suhjecl
suhjeciPnhlicKeyInfo
Version DEFAULT vl.
CerlificateSerialNumbur.
AlgorithmIdentifier.
Valldity
SnhjeciPublieKeylnfo,
1ssuerUniqueldentitier []
subjcetUnigueldentitier[2]
extensions[3]
[MPLICIT UnigucIdentirier OPT[ONAl..IMPLICIT UnigueIdentifier OFTIONALEXlensiunR MANDATORY
version(版本）是编码证书的版本：证书版本应是v3。6. 2各类证书的通用字段
a）arrialNumbert序列号)是由CA为每个证书设定的一个整数，唯一标识每个证节。相对特定CA发行的全部正书而言，每个scrialNurnbcr均是唯-的（即，发行商名称和序列号可标识唯一证书>。
b）signature(签名)包含 CA为证书签名所使用的算法的算法标识符。c）isucI(发行方)标识实体名称，该实体已签名并发行了证书。此字段应采用适普的ISO名称结构，并符合组织或组织单元中组织/角色的对象类别。d）validity(有效性)是指时问间隔，在此段时间内+CA投权包含在证书内的信息是有效的。对正规健康专业人员来说，CA应保证证书的有效期限不超过其专业执照的有效期限。为了达到这一国标，成该规定非书的有效性不超过专业热照的周期，惑者先下专业热照整正日期可常确定执照的更新，如果专业执照未被更新，则取消或终止证书。关于时间格式的性释
可识别编码规则（DER)允许格式化UTC时间和Generalized时问的几种方法，所有便用相同势式使签名验证间题最小化的实现均是重要的。在年份大了或等于 2050 的情况下,成使用 Generaliznd时问进行编码，为了保证对 UIT心时间缩码进行一致地格式化，应使用“2\格式对I![C时试进行织码,且不要忽略第二个宁段，即使“O0\(即，格式应该是YYMMI>[HHMMSSZ)。在此种编码中，当YY人于或等于5U时,则以为年字段YY等于19YY，当YY小于时，哪认为YY等于20YY.在果用Generalized时间时，应以*2\格式对UTC时间进行编码，并应包括第二个字段（即，格式应是YYYYMMDDHIMMSSZ).
e）subjcct(主体)标识在主体公钥字段所发现的公钥相关联的实体的名称。】subjcctPublicKcyInfo（主体公钥信息)用于携带公钥，并标识该公创所采用的算法。5
GB/Z 21716.2—2008
g）issuerUnicqucldcntifier（发行方唯一标识符）是用唯一标识发行方的选择化位中。（IETF/RFC3280建议不使用该字段）。h）suhijertUniqueldentilici(主体-标识符)是用于唯标识主体的选择性位串。（间同意IETF/RFC3280的规定建议不使用该字段）。i）extensinns（扩展）应表求一个或多个扩展的SEQUENCE（次序）。通过X,509所定义的标准签名数据类型的方式将证书的签名附加给证书数据类型。6.3通用字段规范
6.3.1概述
下列条款规定了对基本证书字段中信息内容的要求。对这些内容，IETF/RFC3280或IETF/RFC3279未进行规定。
6.3.2签名
建议在等名字段中包含下列其中的一项值：a) md5WithRSAEncryption(1.2. &40, 113549, 1. 1. 4);shalWithRSAEncryplion(1.2.840.113549,1,1.5);b):
dsa-with-shal(1.2.810.10010.4.3))d)
md2WithR5AEncryption(1. 2. 840. 113549. 1. 1. 2);c
ccdsa-with-SHA1 (1.2. 810.10045, 4, 1);Dcedsa with SHA224(1,2, 840. 10045. 4.3.1);ecdse-with-SHA256(1. 2, 840, 10045, 4, 3.2) ,g）
ecdsa-with-S[1A384(1, 2. 840. 10045. 4. 3, 3) i
ecdsa-with-SHA512(1.2.840.10045.4.3.1)d-RSASSA PSS(1. 2. 840. 113549. 1. 1. 10):k)下载标准就来标准下载网
sha256WthRSAEncryption 1,2,840.113549.1.1.11;I)sha381WithRSAEnctyptian 1. 2. 840, 113549, 1. 1. 12:m)sha512WithRSAEncryption1.2.840.113549.1.1.136. 3. 3有效性
有效日期应符合IETF/RFC3280的规定。按照GB/Z21716.3200817.6.3.2的规定，本部分对健康证书有效期规定了适度的约束。证书的notRclorctime（有效期起始时间）表示一个确切的时间，从那时起CA将维护和出版关于证书状态的准确信息。
6.3.4生体公钥信房
应标识算法标识符，例如，
pkcs-l OBJECT IDENriFIER ::=f iso(1) mrmber-body(2) us(8D)rsadsi(113549) pkcs(1) 1
rsaEncryption OBJECT IIENTIFIER ::- ! pkcs-1 11b)DiJrie-Hellman
支持Diffie-Hellnan O1D的轮率是通过 ANSI X9. 42 LX9. 42]定义的。dhpublicnutnher OBJECT IDENTIFIER :: = iso(1) rir:mher-hody(2)us(84D) ansi-x942(10046) numher-type(2) 1 :c)DSA
KAIKAa
本轮缔支持的DSA（O1D为：
id-dsa 1 :: -: iso(12 member-hpdy(2) us(840) x9.57(10040)x9cm(4)1
d)Eltipric Curve
Ecdsa [ 1,2.840,10045,2,1]]
引用GB/Z21716-3：2008中7.6.1.5对密钥大小的规定。6.3.5发行方名称字段
GB/Z 21716.2--200B
存储于发行方名称字段的发行方名称应采用以下规定的惨正和约束，与符合对象类别rganizationalRale<组织角色)的适当1SO名称结构相一致，位于一个组织或一个组织单元示面。6.1条为各类证书规定了发行方名称字段的内容。a）国家名称：国家名称（cuuntryNaie)应包括ISO双字符国家标识符。示例：国家名称一“CN\
在医疗保健领域必须能分辨出用来销求访问个人健康信息所提供的证书的起源国家，所以此字段是必备的。不问国家有不同保护客户消费者懿私方面的法律和法规，分辩出请求起源的国家将有助子做出是否批谁请求的沈定：
b）地点名称：地点名称（loralityNamc）用亲至少存诺一个地点名称数据。本规危将规定地点名称的两层应。顶层是指列入地理地点名称值后面的国家。在证书发行方名称内，可以省略高层地点名称，仪使用地理地点名称。示例：地点名称一“北京\
c）组织名称：组织名称（organizationNamc)）字段应包括组织注脏名称的全称，存称是指端实体情况下的受托医疗保健组织和亡A证书情况下的亿A的组织名称示例：组织名称－“北京市卫生局”J）组单元名称：如果存在组织单元，组织单元名称（organizationalUnitName)用于存储特定组织下属的组织单元/科室。通过纳入多于一个的字段值，可以在若干层次中规定组织单元。在存在组织单元的情说下，应该以在CA范围内避免名称多义性的方法选择组织单元名称。示例：组织率元名称二“安贞医院放射科”\c）通用名称；本字段用于描述被普追认知的主体的名称。在为用广提交证书时，此字段通常与通用名称（commonName）主体一同通过标准化软件组件来使用。即使能够正确地知晓证书的发行方和证书的用途，它所表示的名称也应该是提示性的。在通用名称学段值内包括答理证书策略的名称属进步的要求。这是对使用(ID策略的附加引用。示例通用名称一“患者健康俯息策路”6.3.6主体名称字段
存储于主体名称字段的出体名称应采用以下定义的修正利约束，与符合对象类别（OrganizationalRole(组织角色)的适当ISO名称结构相一致，位于一个组织或一个组织单元后面。医疗保健执行者的资格和头衔应反映作证书扩展（HCRolc字段）中，6.4条规定了每种证书类型的主体名称的内容。加的建议和指南先1S0IS21091。a）国家名称：国家名称（countryName)应包含1SO双字符国家标识符，示例:国家名称一\CN\
此字段的配置应反映该国家的实际表达。对于CA，正规的和非正规的专业人员，负责医疗保健的提供方，支持组庭员及组织来说，此字段均是必备的，四为在医疗谋健领域分辨实体的起源国家是非常关键的，这种实体是由于访问个人健康7
GB/Z.21716.2—2008
息的请求所提交的证书的主体。不国家有着不同的保护客户/消费背政策方而的保密法律和法规，分辩请求求白哪个国家将辅助决延是否接受请求。b）地点名称：地点名称（localityName）用来至少存储-个地点名称数据。项层为国家的两层地点名称被规定。其后是地理地点名称值。顶层要求列人由地理地点名称值随后的家。在证书主体名称内，而以省略顶层地点名称，仅使用地理地点名称。示例;地点名称…“北京”
c）组织名称：组织名称（organizationNarie)学段应包括组织注册名称的全称，组织名称是指端实体情况下的受托医疗保健维利CA证书情况下的CA的组织名称。示例：组织名称一“北京安贞医院”纽织/单元名称：如果存在组织单死名称（orginization/UnitNare）字段，则该字段用于存特定红织下底的组织单元/科室名称。通过纳人多于一个的学段值，可以在若干层次中规定组织单元，在存在组织单元的情况下，组织单元名称的选择方法应采用避免名称的多义性的方祛。
在某些区域医疗保健实现中，例如，在日本，组纸单元拥于存储医疗保健角色。因为乘些卖方的路由器/防火墙可以访问组织单元，而这种方法可用来施加批准或约束访问的规则，故这种方法作虚拟专业网实现中是有益的。这种方法还可以使依赖方直接从证书中读取角色信息。在组织/单元名称宇段存在的情说下，该宁段可以用来存储健康角色，示例：组织单元名称一“北京安贞医院放射科”示例，组织单元名称一“认可的内科医师”e）通用名称?此字段用于描述名称，通过该名称其主体通常可以被辨辩别。示例+通用名称=“李国强\（人名）对于作为证书主体的人和组织来说，此字段是必备的。在决定是否允许访问个人健康信息时，能够在健康系统中标识可以分辨某个人的通用信息是于分重要的。）姓：此字段用于描述可用来分辨主体的姓。此字段可能存在。如果存在，它可以明显地标识体，因为在医疗保健系统中可以分辨它。示例：通用名称一“李”
）名：此字段用于描述通常可用来分辨亡体的多。此字段可能存在。由于在医疗保健系统内部可以分辨它，所以它可以明确地标识主体。示例:名一“国强\
h）e-mail：此字段的主要用途足记录主体的电子邮件地址。示例:[email protected]/RFC3280不费成，但也允许在支持遗留实现的主体的可区分名中同时存在的电子邮件地址的属性。本指导性技术文性建议在主体名称字段不使用该电了邮件，面放在主体替换名称字段中使用。6.4对各种医疗保健证书类型的要求6.4.1发行方字段
对各种医疗保链证书类型的发行方字段要求见表1。6. 4. 2 主体字段
对各种医疗保健证书类型的作体学段要求见表2。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。