ICS 35.030 CCS L 80 YD 中华人民共和国通信行业标准 YD/Txxxxxxxx 运营商网络设备数字证书管理指南 Guidelines for certificate management of devices in telemunication operator’s network 行业标 (报批稿) (本稿完成日期:2023年11月) 信息服务平台 20×X-X×-X×发布 20××-X×-X×实施 中华人民共和国工业和信息化部 发布
YD/Txxxx-xxxx 目次 前 I 1范围 2规范性引用文件 3术语与定义 2 4缩略语 3 5概述.. 5.1运营商网络设备数字证书应用.
4 5.2运营商网络设备数字证书管理参与方 4 5.3运营商网络设备数字证书管理的目标 6运营商网络物理设备数字证书管理. 5 6.1物理网络设备与PKI系统的组网方式. 5 6.2设备身份标识配置 5 6.3生成密钥对 5 6.4数字证书申请... ..5 6.5数字证书更新 ..8 6.6数字证书撤销 ..8 6.7依赖方验证数字证书 .. 7运营商网络虚拟化设备的数字证书管理. ..9 7.1虚拟化设备与PKI系统的组网方式. ..9 7.2设备身份标识配置. 7.3生成密钥对 ..9 7.4数字证书申请 . 7.5数字证书更新 10 7.6数字证书撤销. 7.7扩容/缩容时数字证书管理, 1I" 附录A(资料性)运营商网络设备数字证书应用 .12 A.1运营商网络设备数字证书的用途 ..12 A.2运营商网络设备数字证书的应用场景 服务平台 .12 参考文献 .14
YD/Tx×xxXxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》 的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位中国移动通信集团有限公司,中国联合网络通信集团有限公司,中兴 通讯股份有限公司,郑州信大捷安信息技术股份有限公司,华为技术有限公司.
本文件主要起草人阎军智,李敏,刘为华,刘伟,邵萌,阮玲宏,杨波,何申,粟栗 行业标准信息服务平台
YD/Txxxx-xxxx 运营商网络设备数字证书管理指南 1范围 本文件提供了运营商主导建设的电信网中网络设备数字证书管理的目标、方法,以及针 对不同组网模式和设备能力的措施、指导和建议.
本文件适用于提升运营商网络设备数字证书管理的效率及应用过程中的安全性,为运营 商网络设备数字证书的安全管理提供技术指导,也可为其他领域数字证书的管理和应用提供 参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期 的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括 的修改单)适用于本文件.
GB/T19714信息技术安全技术公钥基础设施证书管理协议 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32918信息安全技术SM2椭圆曲线公钥密码算法 GB/T35276信息安全技术SM2密码算法使用规范 GB/T35275信息安全技术SM2密码算法加密签名消息语法规范 GB/T37092信息安全技术密码模块安全要求 3术语与定义 下列术语和定义适用于本文件.
3. 1 数字证书digitalcertificate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及 扩展信息的一种数据结构.
按类别可分为个人证书、机构证书和设备证书,按用途可分为签 名证书和加密证书.
[米源:GB/T25056-2018,3.9,有修改] 息服务平台 3. 2 私钥private key 非对称密码算法中只能由拥有者使用的不公开密钥.
[米源:GB/T 25056-2018 3.10] 3.3 依赖方relyingparty 依赖证书中的数据来做决定的用户或代理.
[来源:GB/T 25069-2022,3.717]
YD/Txxxx-xxxx 3.4 证书撤销列表certificaterevocation list 由证书认证机构签发并发布的被撤销证书的列表.
[来源:GB/T25069-2022,3.781,有修改] 3.5 订户 subscriber 使用PKI系统提供的服务获取数字证书的用户.
[来源:GB/T21053-2023,3.4] 3. 6 PKI系统 PKI system 公钥基础设施中,基于公钥密码体制,实现数字证书的发布、撤销和管理等功能,并为 订户提供相应服务的信息系统.
[来源:GB/T21053-2023,3.1] 4缩略语 下列缩略语适用于本文件: CA 证书认证机构 Certificate Authority CRL 证书撤销列表 Certificate Revocation List DN 甄别名称 Distinguished Name EMS 网元管理系统 Element Management System FQDN 全限定域名 Fully Qualified Domain Name IP 互联网通信协议 Internet Protocol IPSec IP安全协议 Internet Protocol Security MAC 媒体访问控制 Media Access Control MANO 管理和编排 Management and Orchestration NFVI 网络功能虚拟化基础设施 NFV Infrastructure OCSP 在线证书状态协议 Online Certificate Status Protocol PKI 公钥基础设施 Public key infrastructure RA 证书注册机构 Certificate Registration Authority SAN 主体可选替换名称 Subject Alternative Name SSH 安全外壳协议 Secure Shell TLS 网络传输层安全 Transport Layer Security TLCP 传输层密码协议 Transport Layer Cryptography Protocol VNF 虚拟化网络功能 Virtualized Network Function VNFD 虚拟化网络功能描述符 Virtualized Network Function Descriptor N
