GM_T 0050-2016密码设备管理 设备管理技术规范.pdf

ICS 35.040L 80GM备号：58555—2017中华人民共和国密码行业标准GM/T 0050—2016密码设备管理设备管理技术规范Cryptography device management-Specification of device management technology2016-12-23发布2016-12-23实施国家密码管理局发布 GM/T次前言IV范围规范性引用文件术语和定义璟略语密码设备管理体系5.1密码设备管理在密码基础设施应用技术体系框架中的位置5.2密码设备管理平台结构5.3密码设备管理应用体系结构..........5.4管理应用层5.5设备管理平台层5.5.1设备管理平台层结构及功能5.5.2设备管理总中心5.5.3设备管理信息库5.5.4设备管理分中心5.6密码设备层5.7设备证书管理5.8注册流程5.8.1注册要求5.8.2设备管理分中心注册5.8.3被管对象注册安全通道消息6.1安全通道协议6,2安全通道消息6.2.1安全通道消息格式定义6.2.2安全通道建立请求消息格式6.2.3安全通道建立响应消息格式.5通知重启安全通道消息格式06.306.4安全通道的使用0设备管理信息107.1设备管理信息定义7.2数据类型定义7.3管理信息层次结构.12 GM/T认可的密码算法，如对称算法SM4，非对称算法SM2，摘要算法SM3；3）可以安全存储被管对象自身证书和私例，以及直属分中心和总中心证书。b)管理代理要求：应实现管理代理，完成安全迪道建立，响应标准管营理消息包。1）内部管理代理，管理代理在被管对象内现，宝现安全通道协议。安全道用到的密股务功能，由被管对象内部提供外部管理代理：对于些无法持内部管理代理功能的被管对象，可以采用外部设备管理代理进行维护，外部设备管理代理应存储被代理设备的设备证书，负责处理所有的管理类操作，外部设备管理代理作流程：·设备管理平台通过安全通道访间外部设备管理代理，发出操作请求；：外部设备管理代理对按收的数据包进行包解析，确认目标是其所代理的某台被管对象；·外部设备管理代理将指令中数据PDU解密获得管理应用的操作指令，通过内部途径将操作指令转交访间被管设备执行：：操作结果用外部督理代理建立的安全通道返回给设备管理平台，5.7设备证书管理设备证书可以由设备理总中心签发，也可以由第三方CA整发。设备证书的申请、更新等管流程薄循CA系统的相关含理技术规范。5.8注册流程5.8.1注册要求系统中的所有被管对象在使用前需在设备管理总中心进行注册，用以获得设备难一标识。当设备证书由设备暨理总中心签发时，设备注册时需提交设备信息表、证书审请和支持的算法，总中心负责分配设备唯一标识和签发证书。当设备证书由外部第三方CA签发时，设备注册需提交设备信息表和支持的算法，总中心负责分配设备唯一标识。注册分为设备管理分中心注册和被管设备注册流程。5.8.2设备管理分中心注册设备管理分中心注册流程如下：a)设备管理分中心产生证书申请；)设备管理分中心将设备信息表、证书中请和支持的算决一起提交给设备督理总中心，算法标识定义参见CM/T0006；c)设备管理总中心对中请进行审核。审核通过则在设备管理信息库中记录该分中心信息；审核不通过则拒绝该申请（如，不支持分中心使用的算法等），d)设备管理总中心签发分中心双证书，证书格式符合相关规范（如，SM2证书需遵循CM/T0015)，导出总中心设备证书和分中心设备证书，下发给设备分中心；设备管理分中心导入分中心设备证书和总中心设备证书。注：分中心注册的信息传递采用离线方式，5.8.3被管对象注册被管对象注朋流程如下：6 GM/T 0050—2016被普设备产生证书申请，b)被管设备将设备信息表、证书申请和文持的算法一起提交给设备管理分中心，算法标识定义参见GM/T0006(设备管理分中心通过与总中心之间建立的安全通道，将该注册申请转发给总中心；d)设备管理总中心对申请进行审核。审核通过则在设备曾理信息库中记录该设备信息。如果不支持设备采用的算法则拒绝该中请；设备管理总中心签发设备证书，导出设备证书和总中心设备证书，通过安全通道下发给设备分中心;设备管理分中心将总中心证书、分中心证书和设备证书下发给被管设备：g)被管设备导人设备证书、分中心设备证书和总中心设备证书。注：被管设各向管理分中心的注册采用为离线方式，分中心与总中心间通过安全通谨传通注信息。6安全通道消息6.1安全通道协议安全通道协议是用于设备管理中心与密码设备臀理代理之间的督理信息交互的安全协议，其实现设备管理应用与密码设备之间应用层安全连按的建立，为应用层信息交互提供机密性和完整性保护，安全通道协议框架见附录B6.2安全通道消息6.2.1安全通