| 标准编号 | GM/T 0088-2020 (GM/T0088-2020) | | 中文名称 | 云服务器密码机管理接口规范 | | 英文名称 | Cloud cryptographic server management interface specification | | 行业 | Chinese Industry Standard (推荐) | | 中标分类 | L80 | | 字数估计 | 28,256 | | 发布日期 | 2020-12-28 | | 实施日期 | 2021-07-01 | | 标准依据 | 国家密码管理局公告第41号 | | 发布机构 | 国家密码管理局 | GM/T 0088-2020: 云服务器密码机管理接口规范
GM/T 0088-2020 英文名称: Cloud cryptographic server management interface specification
中华人民共和国密码行业标准
云服务器密码机管理接口规范
国家密码管理局 发 布
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布
机构不承担识别专利的责任。
本文件由密码行业标准化技术委员会提出并归口。
本文件起草单位:北京江南天安科技有限公司、阿里云计算有限公司、北京三未信安科技发展有限
公司、新飞凡(上海)云计算服务有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份
有限公司、兴唐通信科技有限公司、中国科学院数据与通信研究教育保护中心。
本文件主要起草人:李国、胡杰、马晓艳、张钊、苏建东、杨李贝、高志权、吕鹂啸、罗俊、吴庆国、徐明翼、
张超、梁乐、王伟、曹硕。
云服务器密码机管理接口规范
1 范围
本文件规定了云平台管理系统与云服务器密码机之间的设备管理接口和协议。
本文件适用于云服务器密码机的研制和检测,也适用于云平台管理系统的开发和使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32907 信息安全技术 SM4分组密码算法
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 35276 信息安全技术 SM2密码算法使用规范
3 术语和定义
下列术语和定义适用于本文件。
5 系统结构和接口位置
云服务器密码机管理接口API,由云平台管理系统调用,用于管理配置CHSM和CHSM内的多个
VSM。管理接口API在云服务应用体系结构中的位置见图1。
6 通讯协议和数据结构
6.1 通讯协议
云服务密码机管理接口应基于HTTP协议,以方便管理。如果采用传输层进行安全保护,宜采用
GM/T 0024中定义的协议。
6.2 请求方法和URL规则
支持HTTPGET、POST方法。
---使用GET方法时,输入参数附加在请求的URL上,输出参数为JSON格式;示例如下:
http://{chsmip:port}/api/{1.0}/chsm/info? requestId={requestId}
---使用POST方法时,输入和输出参数均采用JSON格式;示例如下:
http://{chsmip:port}/api/{1.0}/chsm/network
{斜体}为可变内容域。
6.3 授权类别
当前支持的授权类别有:
---guest,无需签名即可使用;
---trusted,必须经过验证签名。
6.4 认证信息
云平台管理系统作为客户端在跟云服务密码机管理服务通讯时,应提供认证信息,用于鉴别其身份。
可以通过验证签名的方式鉴别云平台管理系统身份。
请求Header中包含认证信息,如下:
---CHSM-AuthPK:签名使用的私钥所对应的公钥指纹;
---CHSM-SignatureAlg:“SM2WithSM3”或“RSAWithSHA256”;
---CHSM-Signature:签名值,针对整个body体的杂凑值计算的签名,BASE64编码。
SM2WithSM3算法,其签名算法符合 GB/T 32905和 GB/T 32918规范定义,签名值格式符合
GB/T 35276规范定义。
RSAWithSHA256算法,其签名值格式参考PKCS#1相关要求,应采用2048位及以上强度密钥。
6.5 状态信息
云服务密码机管理服务的API总会返回状态信息,状态信息包含字符形式的状态码和状态描述。
状态码应按附录A的规定。
6.6 回调数据
因部分操作是异步操作,当异步操作完成后,云服务器密码机向回调地址发送回调数据
7 管理接口描述
7.1 接口列表
本文件采用httpRESTfulapi架构风格进行描述。
云服务器密码机应支持的管理接口见表2。
7.2 CHSM配置管理类接口
7.2.1 获取CHSM详细信息
URL: http://{chsmip:port}/api/{1.0}/chsm
调用方法: POST
功能描述: 获取CHSM内详细信息,包括配置和运行信息。
参数 类型 说明
输入参数: requestId string 请求流水号
oprType string 操作类型,取值:"getinfo"
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
result object 返回数据对象
result对象: id string chsmuuid
version string chsm版本
ip string chsmip地址
ntpAddr string ntp地址
ntpSyncPeriod int ntp同步周期(分钟)
imageUploaderUrl string 数据影像上传地址
sysLogUrl string 日志收集地址
vsmIds array chsm所有vsm的识别码
netAddrs array CHSM的各网口配置信息,内含每个网口的属
性object,每object包含下述4个键值
name string 网口标识,属于netAddrs中object的子域
ip string IP地址,属于netAddrs中object的子域
mask string 子网掩码,属于netAddrs中object的子域
gateway string 网关地址,属于netAddrs中object的子域
dnsList array chsm实例DNS列表
extensions object 扩展信息
7.2.2 获取CHSM运行状态
URL: http://{chsmip:port}/api/{1.0}/chsm/status
调用方法: GET
功能描述: 获取CHSM的运行状态是否正常。
参数 类型 说明
输入参数: requestId string 请求流水号
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
result object 返回数据对象
result对象: status string hsm状态(参见表1)
7.2.3 获取CHSM所有状态信息
URL: http://{chsmip:port}/api/{1.0}/chsm/alstatus
调用方法: GET
功能描述: 获取CHSM和内部所有VSM的运行状态是否正常。
参数 类型 说明
输入参数: requestId string 请求流水号
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
result object 返回数据对象
result对象: chsmStatus string hsm状态(ok或者fail)
vsmStatusMap object 所有vsm状态(ok或者fail)
7.2.4 配置CHSM网络信息
URL: http://{chsmip:port}/api/{1.0}/chsm/network
调用方法: POST
功能描述: 修改CHSM的网络属性配置,支持配置一个或多个网口的网络地址。
参数 类型 说明
输入参数: requestId string 请求流水号
netAddrs array CHSM的各网口配置信息,内含每个网口的属
性object,每object包含下述4个键值
name string 网口标识,属于netAddrs中object的子域
ip string IP地址,属于netAddrs中object的子域
mask string 子网掩码,属于netAddrs中object的子域
gateway string 网关地址,属于netAddrs中object的子域
dnsList array dns列表
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
7.2.5 配置CHSM的NTP服务
URL: http://{chsmip:port}/api/{1.0}/chsm/ntp
调用方法: POST
功能描述: 向CHSM设置NTP服务器地址,用于同步CHSM内系统时间。
参数 类型 说明
输入参数: requestId string 请求流水号
addr string NTP服务器地址,如"10.1.1.1"
syncPeriod int 同步周期,分钟
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
7.2.6 配置CHSM的影像上传地址
URL: http://{chsmip:port}/api/{1.0}/chsm/imageuploader
调用方法: POST
功能描述: 配置CHSM内部备份或影像(包括VSM影像)的上传地址。
当调用导出CHSM 影像、备份CHSM 或导出VSM 影像接口时,CHSM 将向此
处配置的URL上传影像或备份。
参数 类型 说明
输入参数: requestId string 请求流水号
url string 影像上传地址,如
"http://192.168.0.1/image/upload"
输出参数: status int 状态码
message string 状态描述
timestamp string 服务器响应时间
requestId string 请求ID
costMilis long 服务器处理时间(毫秒)
7.2.7 配置CHSM的日志上传地址
URL: http:/......
|