标准搜索结果: 'GM/T 0050-2016'
标准编号 | GM/T 0050-2016 (GM/T0050-2016) | 中文名称 | 密码设备管理 设备管理技术规范 | 英文名称 | Cryptography Device Management - Specification of Device Management Technology | 行业 | Chinese Industry Standard (推荐) | 中标分类 | L80 | 字数估计 | 33,338 | 发布日期 | 2016-12-23 | 实施日期 | 2016-12-23 | 标准依据 | 国家密码管理局公告第31号 |
GM/T 0050-2016: 密码设备管理 设备管理技术规范
GM/T 0050-2016 英文名称: Cryptography Device Management - Specification of Device Management Technology
中 华 人 民 共 和 国 密 码 行 业 标 准
GM/T 0050—2016
密码设备管理设备管理技术规范
国家密码管理局 发 布
1 范围
本标准规定了密码设备管理的体系结构、管理流程、安全通道协议、管理信息结构、应用接口和标准 管理消息格式。
为应用技术体系框架内的密码设备和上层管理应用的研制和开发提供指导和依据。
本标准适用于密码设备管理系统、密码设备管理应用、密码机等密码设备的研制和开发,也可用于 指导密码设备管理系统、密码设备的检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GM/T 0006 密码应用标识规范
GM/T 0009 SM2 密码算法使用规范
GM/T 0015 基于SM2 密码算法的数字证书格式规范
GM/T 0018 密码设备应用接口规范
4 缩略语
下列缩略语适用于本文件。
AID AttributeID 被管对象的属性标识符
API Application Program Interface 应用程序接口
CA Certification Authority 证书认证中心
PDU Package Data Unit 分包数据单元
5 密码设备管理体系
5.1 密码设备管理在密码基础设施应用技术体系框架中的位置
密码设备管理服务位于公钥密码基础设施应用技术体系框架中的通用密码服务层,采用设备管理 总中心、设备管理分中心两级树形结构体系,通过密码设备管理接口向上层管理应用提供服务。
密码设备管理平台向上层管理应用提供设备管理应用接口,为远程密钥管理、设备维护、设备监控 等上层管理应用提供设备管理功能,通过安全通道进行传递应用相关的管理消息。
密码设备管理平台在提供设备管理服务时调用管理中心专用密码设备的密码设备应用接口以及外 部证书认证系统提供的服务,密码服务要求的密码运算在密码设备内部实现。
5.2 密码设备管理平台结构
密码设备管理体系采用两级树形结构体系,基于设备证书的管理机制。建立密码设备管理体系首 先是在密码设备管理层的各级设备管理中心和密码设备层的被管对象中安装相应的设备证书。设备证 书可由密码设备管理体系中的设备管理总中心签发,也可以由外部 CA 签发。在该树形体系中,各级设 备管理中心之间、设备管理中心与被管对象间都是通过设备证书进行密钥协商,通过安全协议建立安全 通道,实现管理信息的安全传递。
5.3 密码设备管理应用体系结构
密码设备管理以数字证书体系为基础,按照功能进行层次划分可分为三层,分别为:管理应用层、管 理平台层和密码设备层。管理应用层主要是对密码设备进行的各种具体的管理应用,包括:远程密钥管 理、远程设备监控、远程设备维护、远程设备有效性检测等。管理平台层主要是在设备管理中心与密码 设备之间构建一条安全通道,使得上层管理中心可以准确定位底层密码设备,同时与其进行安全的数据 交互。密码设备层主要包括各种密码设备,如:服务器密码设备、密码卡等,但不包括智能密码终端设备。
密码设备管理平台与密码设备之间,通过安全协议实现双向身份认证,建立应用层安全通道并通过 所协商的会话密钥实现传输指令和数据的机密性、完整性保护。各种管理应用通过密码设备管理平台 与密码设备之间建立的安全通道对密码设备进行具体的管理。
5.4 管理应用层
管理应用为密码设备管理、密钥管理、设备维护、设备监控等对密码设备进行状态或数据管理的应 用。管理应用通过设备管理总中心提供的密码设备管理接口,获取被管设备在数据库中的基本信息,并 向被管设备发送各应用的具体管理指令。
5.5 设备管理平台层
5.5.1 设备管理平台层结构及功能
设备管理平台层即密码设备管理服务层,可根据实际应用需求采用分级结构,如分为设备管理总中 心和设备管理分中心。
采用分级结构时,密码设备管理总中心可以下设多个密码设备管理分中心。管理总中心为上层的 管理应用提供设备管理功能,总中心通过分中心统一管理所有被管对象,分中心不对管理应用提供服 务。总中心与分中心、分中心与密码设备管理代理之间分别建立安全通道。
密码设备管理平台的主要功能是通过标准的密码设备管理接口为管理应用层提供安全通道服务。
5.5.2 设备管理总中心
设备管理总中心主要功能有:
a) 为设备管理分中心和被管对象签发设备证书(可选);
b) 处理设备管理分中心和被管对象的注册和注销请求;
c) 实现密码设备管理接口,提供与管理应用层交互的接入点;
d) 提供设备监测管理功能:
1) 与设备管理信息库进行交互,对被管对象进行基础维护和管理。包括设备轮询时间的设置、轮询属性的添加和修改、设备告警信息的处理等;
2) 对下级管理中心和被管对象的管理:包括设备状态查询、下级中心上报设备信息的接收处理等。
5.5.3 设备管理信息库
在管理平台层的各级中心,都设有设备管理信息库,信息库中所包含的设备基本信息见表1。
设备管理总中心的设备管理信息库中存储了包括设备管理分中心在内的所有被管对象的基本信息。分中心的设备信息管理库里只存储所属被管对象的信息。
5.5.4 设备管理分中心
设备管理分中心的主要功能有:
a) 维护其所辖范围内的被管对象;
b) 为其所辖范围内的被管对象提供设备证书申请和设备注册代理服务;
c) 处理或转发设备管理总中心与被管对象之间的消息;
d) 定期轮询其所辖范围内的被管对象的工作状态,收集整理后提交设备管理总中心。
设备管理分中心设有分中心的设备管理信息库,存储其所辖范围内的被管对象的基木信息,内容同表1。
5.6 密码设备层
密码设备层是指各种具体的被管对象,包括密码机、密码卡等提供密码服务功能的设备。被管对象 通过设备管理代理与设备管理平台进行消息交互。
被管对象通过安全通道与管理中心相连。在设备端需实现管理代理,提供接受系统管理的能力。 对被管对象的基本要求如下:
a) 算法资源要求
1) 支持管理平台的设备管理算法,否则中心会拒绝该被管对象的注册。管理算法应使用国家认可的密码算法,如对称算法 SM4, 非对称算法 SM2, 摘要算法 SM3;
2) 可以产生公私钥对以产生证书申请,或者从外部证书认证系统获得证书;
3) 可以安全存储被管对象自身证书和私钥,以及直属分中心和总中心证书。
b) 管理代理要求:应实现管理代理,完成安全通道建立,响应标准管理消息包。
1) 内部管理代理:管理代理在被管对象内实现,实现安全通道协议。安全通道用到的密码服 务功能,由被管对象内部提供;
2) 外部管理代理:对于某些无法支持内部管理代理功能的被管对象,可以采用外部设备管理 代理进行维护。外部设备管理代理应存储被代理设备的设备证书,负责处理所有的管理 类操作;
3) 外部设备管理代理操作流程:
● 设备管理平台通过安全通道访问外部设备管理代理,发出操作请求;
● 外部设备管理代理对接收的数据包进行包解析,确认目标是其所代理的某台被管 对象;
● 外部设备管理代理将指令中数据PDU 解密获得管理应用的操作指令,通过内部途径 将操作指令转交访问被管设备执行;
● 操作结果用外部管理代理建立的安全通道返回给设备管理平台。
5.7 设备证书管理
设备证书可以由设备管理总中心签发,也可以由第三方CA 签发。
设备证书的申请、更新等管理流程遵循CA 系统的相关管理技术规范。
5.8 注册流程
5.......
|