运营商网络设备数字证书管理指南.pdf

运营商网络设备数字证书管理指南

1范围

本文件提供了运营商主导建设的电信网中网络设备数字证书管理的目标、方法，以及针

对不同组网模式和设备能力的措施、指导和建议。

本文件适用于提升运营商网络设备数字证书管理的效率及应用过程中的安全性，为运营

商网络设备数字证书的安全管理提供技术指导，也可为其他领域数字证书的管理和应用提供

参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T19714信息技术安全技术公钥基础设施证书管理协议

GB/T20518信息安全技术公钥基础设施数字证书格式

GB/T32905信息安全技术SM3密码杂凑算法

GB/T32907信息安全技术SM4分组密码算法

GB/T32918信息安全技术SM2椭圆曲线公钥密码算法

GB/T35276信息安全技术SM2密码算法使用规范

GB/T35275信息安全技术SM2密码算法加密签名消息语法规范

GB/T37092信息安全技术密码模块安全要求

3术语与定义

下列术语和定义适用于本文件。

3.1

数字证书digitalcertificate

由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及

扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签

名证书和加密证书。

[来源：GB/T25056-2018，3.9，有修改]

3.2

私钥privatekey

非对称密码算法中只能由拥有者使用的不公开密钥。

[来源：GB/T25056-2018，3.10]

3.3

依赖方relyingparty

依赖证书中的数据来做决定的用户或代理。

[来源：GB/T25069-2022，3.717]

1

3.4

证书撤销列表certificaterevocationlist

由证书认证机构签发并发布的被撤销证书的列表。

[来源：GB/T25069-2022，3.781，有修改]

3.5

订户subscriber

使用PKI系统提供的服务获取数字证书的用户。

[来源：GB/T21053-2023，3.4]

3.6

PKI系统PKIsystem

公钥基础设施中，基于公钥密码体制，实现数字证书的发布、撤销和管理等功能，并为

订户提供相应服务的信息系统。

[来源：GB/T21053-2023，3.1]

4缩略语

下列缩略语适用于本文件：

CA证书认证机构CertificateAuthority

CRL证书撤销列表CertificateRevocationList

DN甄别名称DistinguishedName

EMS网元管理系统ElementManagementSystem

FQDN全限定域名FullyQualifiedDomainName

IP互联网通信协议InternetProtocol

IPSecIP安全协议InternetProtocolSecurity

MAC媒体访问控制MediaAccessControl

MANO管理和编排ManagementandOrchestration

NFVI