GM-T 0050-2016 清晰版 密碼設(shè)備管理 設(shè)備管理技術(shù)規(guī)范

ICS35.040L80備案號(hào)：58555—2017中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范C—2016-12-23發(fā)布2016-12-23實(shí)施國(guó)家密碼管理局發(fā)布ⅠGM／T0050—2016前言 引言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5密碼設(shè)備管理體系 5.1密碼設(shè)備管理在密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架中的位置 5.2密碼設(shè)備管理平臺(tái)結(jié)構(gòu) 5.3密碼設(shè)備管理應(yīng)用體系結(jié)構(gòu) 5.4管理應(yīng)用層 5.5設(shè)備管理平臺(tái)層 5.5.1設(shè)備管理平臺(tái)層結(jié)構(gòu)及功能 5.7設(shè)備證書(shū)管理 5.8.2設(shè)備管理分中心注冊(cè) 6安全通道消息 6.1安全通道協(xié)議 6.2安全通道消息 6.2.1安全通道消息格式定義 6.2.2安全通道建立請(qǐng)求消息格式 6.2.3安全通道建立響應(yīng)消息格式 6.2.4安全通道數(shù)據(jù)發(fā)送消息格式 6.2.5通知重啟安全通道消息格式 6.3安全通道建立時(shí)機(jī) 6.4安全通道的使用 7設(shè)備管理信息 7.1設(shè)備管理信息定義 7.2數(shù)據(jù)類(lèi)型定義 7.3管理信息層次結(jié)構(gòu) ⅡGM／T0050—2016 8設(shè)備管理消息 8.1設(shè)備管理消息格式定義 操作消息 操作消息 操作消息 操作消息 操作消息 操作消息 操作消息 9設(shè)備管理平臺(tái)對(duì)管理應(yīng)用提供的接口 9.2系統(tǒng)初始化類(lèi)接口 9.2.1初始化設(shè)備管理環(huán)境 9.2.2退出設(shè)備管理環(huán)境 9.3設(shè)備屬性管理類(lèi)接口 9.3.2根據(jù)編號(hào)獲得設(shè)備信息 9.3.3批量獲取設(shè)備屬性值 9.4數(shù)據(jù)發(fā)送類(lèi)接口 9.4.1使用安全通道發(fā)送數(shù)據(jù) 9.5告警信息管理類(lèi)接口 9.5.1獲得告警信息數(shù)量及告警編號(hào) 9.5.2獲得一條告警信息 9.5.3設(shè)置告警信息為已處理 附錄A（規(guī)范性附錄）錯(cuò)誤代碼定義 附錄B（規(guī)范性附錄）安全通道協(xié)議框架 參考文獻(xiàn) ⅢGM／T0050—2016本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草?！睹艽a設(shè)備管理》由一系列標(biāo)準(zhǔn)組成，其中GM/T0050《密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范》是此類(lèi)標(biāo)準(zhǔn)的核心基礎(chǔ)；其余標(biāo)準(zhǔn)由不同的管理應(yīng)用標(biāo)準(zhǔn)組成，目前包括：—基礎(chǔ)規(guī)范：GM/T0050密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范；—管理應(yīng)用規(guī)范：GM/T密碼設(shè)備管理對(duì)稱(chēng)密鑰管理技術(shù)規(guī)范；—管理應(yīng)用規(guī)范：GM/T密碼設(shè)備管理VPN設(shè)備監(jiān)察管理規(guī)范；—管理應(yīng)用規(guī)范：GM/T密碼設(shè)備管理遠(yuǎn)程監(jiān)控和合規(guī)性檢驗(yàn)接口數(shù)據(jù)規(guī)范。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)的附錄A、附錄B是規(guī)范性附錄。本標(biāo)準(zhǔn)起草單位：興唐通信科技有限公司、無(wú)錫江南信息安全工程技術(shù)中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、山東得安信息技術(shù)有限公司、上海格爾軟件股份有限公司、北京海泰方圓科技有限公司、長(zhǎng)春吉大正元信息技術(shù)股份有限公司、北京數(shù)字證書(shū)認(rèn)證中心有限公司、上海市數(shù)字證書(shū)認(rèn)證中心有限公司、萬(wàn)達(dá)信息股份有限公司。本標(biāo)準(zhǔn)主要起草人：王妮娜、李玉峰、林岳嵩、王海霞、徐強(qiáng)、李元正、高志權(quán)、譚武征、柳增壽、本標(biāo)準(zhǔn)凡涉及密碼算法相關(guān)內(nèi)容，按國(guó)家有關(guān)法規(guī)實(shí)施。ⅣGM／T0050—2016密碼設(shè)備管理向上層管理應(yīng)用提供設(shè)備管理應(yīng)用接口，為實(shí)現(xiàn)遠(yuǎn)程密鑰管理、設(shè)備維護(hù)、設(shè)備監(jiān)控、設(shè)備合規(guī)性檢查等上層管理應(yīng)用提供設(shè)備管理功能，將上層管理應(yīng)用的管理請(qǐng)求轉(zhuǎn)換為標(biāo)準(zhǔn)的消息調(diào)用，通過(guò)安全協(xié)議建立應(yīng)用層安全通道，實(shí)現(xiàn)管理應(yīng)用與密碼設(shè)備間的消息傳遞。本標(biāo)準(zhǔn)規(guī)定了密碼設(shè)備管理的應(yīng)用接口、管理流程、管理協(xié)議、管理信息結(jié)構(gòu)，明確了密碼設(shè)備實(shí)現(xiàn)管理代理的具體要求，實(shí)現(xiàn)設(shè)備管理應(yīng)用與具體密碼設(shè)備的無(wú)關(guān)性，達(dá)到依據(jù)本標(biāo)準(zhǔn)設(shè)計(jì)開(kāi)發(fā)的密碼設(shè)備可以由依據(jù)本標(biāo)準(zhǔn)開(kāi)發(fā)的管理系統(tǒng)進(jìn)行統(tǒng)一管理、統(tǒng)一配置的目的。有關(guān)密碼設(shè)備管理系統(tǒng)的建設(shè)要求和運(yùn)行管理要求請(qǐng)參考CA管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)不再另行定義。本標(biāo)準(zhǔn)為密碼設(shè)備和上層管理應(yīng)用的研制和開(kāi)發(fā)提供指導(dǎo)和依據(jù)。本標(biāo)準(zhǔn)制定一套密碼設(shè)備管理應(yīng)用接口，確定密碼設(shè)備實(shí)現(xiàn)管理代理的具體要求，實(shí)現(xiàn)設(shè)備管理應(yīng)用與具體密碼設(shè)備的無(wú)關(guān)性，達(dá)到依據(jù)本標(biāo)準(zhǔn)設(shè)計(jì)、開(kāi)發(fā)的密碼設(shè)備，可以進(jìn)行統(tǒng)一管理、統(tǒng)一配置的目的。本標(biāo)準(zhǔn)第5、第9章針對(duì)管理應(yīng)用廠商使用。本標(biāo)準(zhǔn)的編制過(guò)程中得到了國(guó)家商用密碼應(yīng)用體系總體工作組的指導(dǎo)。1GM／T0050—2016密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范本標(biāo)準(zhǔn)規(guī)定了密碼設(shè)備管理的體系結(jié)構(gòu)、管理流程、安全通道協(xié)議、管理信息結(jié)構(gòu)、應(yīng)用接口和標(biāo)準(zhǔn)管理消息格式。為應(yīng)用技術(shù)體系框架內(nèi)的密碼設(shè)備和上層管理應(yīng)用的研制和開(kāi)發(fā)提供指導(dǎo)和依據(jù)。本標(biāo)準(zhǔn)適用于密碼設(shè)備管理系統(tǒng)、密碼設(shè)備管理應(yīng)用、密碼機(jī)等密碼設(shè)備的研制和開(kāi)發(fā)，也可用于指導(dǎo)密碼設(shè)備管理系統(tǒng)、密碼設(shè)備的檢測(cè)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GM/T密碼應(yīng)用標(biāo)識(shí)規(guī)范GM/TSM2密碼算法使用規(guī)范GM/T基于SM2密碼算法的數(shù)字證書(shū)格式規(guī)范GM/T密碼設(shè)備應(yīng)用接口規(guī)范3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)及定義適用于本文件。3.1密碼設(shè)備為密鑰等秘密信息提供安全存儲(chǔ)，并基于這些秘密信息提供密碼安全服務(wù)的設(shè)備。本標(biāo)準(zhǔn)中，專(zhuān)指可以接受設(shè)備管理操作的密碼設(shè)備，主要包括網(wǎng)絡(luò)密碼機(jī)、應(yīng)用密碼機(jī)／卡；但不包括智能密碼終端、密碼芯片等部件級(jí)設(shè)備。3.2設(shè)備證書(shū)可以標(biāo)識(shí)密碼設(shè)備身份的數(shù)字信息，包含密碼設(shè)備的基本信息、設(shè)備公鑰信息及其他補(bǔ)充信息等。設(shè)備證書(shū)可以由專(zhuān)門(mén)的CA系統(tǒng)簽發(fā)，也可以由設(shè)備管理平臺(tái)簽發(fā)。3.3安全通道通過(guò)設(shè)備管理中心與密碼設(shè)備管理代理之間的數(shù)據(jù)交互安全協(xié)議建立起來(lái)的應(yīng)用層安全連接，目的是為設(shè)備管理應(yīng)用與密碼設(shè)備之間的應(yīng)用層信息交互提供機(jī)密性和完整性保護(hù)。3.4設(shè)備密鑰存儲(chǔ)在設(shè)備內(nèi)部的用于設(shè)備管理的非對(duì)稱(chēng)密鑰對(duì)，包含簽名密鑰對(duì)和加密密鑰對(duì)。2GM／T0050—20163.5被管對(duì)象接受管理的密碼設(shè)備，通過(guò)設(shè)備管理代理成為被管對(duì)象。3.6設(shè)備管理代理設(shè)備管理代理是實(shí)現(xiàn)安全通道建立、設(shè)備管理消息解析的邏輯實(shí)體，它處理設(shè)備管理中心下發(fā)的消息命令，將處理結(jié)果返回給設(shè)備管理中心。每個(gè)設(shè)備管理代理對(duì)應(yīng)一個(gè)密碼設(shè)備，設(shè)備管理代理可以在密碼設(shè)備內(nèi)部實(shí)現(xiàn)，也可以由密碼設(shè)備外部主機(jī)實(shí)現(xiàn)。如果在外部實(shí)現(xiàn)，必須保證外部設(shè)備代理和所代理密碼設(shè)備之間的安全連接。3.7安全通道消息密碼設(shè)備管理平臺(tái)在被管設(shè)備與管理中心之間建立和維護(hù)安全會(huì)話(huà)連接的初始化協(xié)議消息。3.8管理應(yīng)用密碼設(shè)備管理、密鑰管理、設(shè)備維護(hù)、設(shè)備監(jiān)控等對(duì)密碼設(shè)備進(jìn)行狀態(tài)或數(shù)據(jù)管理的應(yīng)用。3.9密碼設(shè)備管理平臺(tái)為管理應(yīng)用提供與被管對(duì)象建立遠(yuǎn)程安全通道的管理系統(tǒng)。密碼設(shè)備管理消息在密碼設(shè)備管理平臺(tái)上發(fā)送的對(duì)密碼設(shè)備進(jìn)行遠(yuǎn)程管理和控制的協(xié)議消息。密碼設(shè)備管理信息密碼設(shè)備管理系統(tǒng)對(duì)密碼設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)查詢(xún)或配置的標(biāo)準(zhǔn)數(shù)據(jù)。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AIDAttributeID被管對(duì)象的屬性標(biāo)識(shí)符應(yīng)用程序接口證書(shū)認(rèn)證中心PDUPackageDataUnit分包數(shù)據(jù)單元5密碼設(shè)備管理體系5.1密碼設(shè)備管理在密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架中的位置密碼設(shè)備管理服務(wù)位于公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架中的通用密碼服務(wù)層，采用設(shè)備管理總中心、設(shè)備管理分中心兩級(jí)樹(shù)形結(jié)構(gòu)體系，通過(guò)密碼設(shè)備管理接口向上層管理應(yīng)用提供服務(wù)。密碼設(shè)備管理平臺(tái)向上層管理應(yīng)用提供設(shè)備管理應(yīng)用接口，為遠(yuǎn)程密鑰管理、設(shè)備維護(hù)、設(shè)備監(jiān)控等上層管理應(yīng)用提供設(shè)備管理功能，通過(guò)安全通道進(jìn)行傳遞應(yīng)用相關(guān)的管理消息。密碼設(shè)備管理平臺(tái)在提供設(shè)備管理服務(wù)時(shí)調(diào)用管理中心專(zhuān)用密碼設(shè)備的密碼設(shè)備應(yīng)用接口以及外部證書(shū)認(rèn)證系統(tǒng)提供的服務(wù)，密碼服務(wù)要求的密碼運(yùn)算在密碼設(shè)備內(nèi)部實(shí)現(xiàn)。密碼設(shè)備管理服務(wù)在密碼基礎(chǔ)設(shè)施體系結(jié)構(gòu)中的位置如圖1所示：3GM／T0050—2016圖1密碼設(shè)備管理服務(wù)在密碼基礎(chǔ)設(shè)施體系結(jié)構(gòu)中的位置5.2密碼設(shè)備管理平臺(tái)結(jié)構(gòu)密碼設(shè)備管理體系采用兩級(jí)樹(shù)形結(jié)構(gòu)體系，基于設(shè)備證書(shū)的管理機(jī)制。建立密碼設(shè)備管理體系首先是在密碼設(shè)備管理層的各級(jí)設(shè)備管理中心和密碼設(shè)備層的被管對(duì)象中安裝相應(yīng)的設(shè)備證書(shū)。設(shè)備證書(shū)可由密碼設(shè)備管理體系中的設(shè)備管理總中心簽發(fā)，也可以由外部CA簽發(fā)。在該樹(shù)形體系中，各級(jí)設(shè)備管理中心之間、設(shè)備管理中心與被管對(duì)象間都是通過(guò)設(shè)備證書(shū)進(jìn)行密鑰協(xié)商，通過(guò)安全協(xié)議建立安全通道，實(shí)現(xiàn)管理信息的安全傳遞。5.3密碼設(shè)備管理應(yīng)用體系結(jié)構(gòu)密碼設(shè)備管理應(yīng)用體系如圖2所示：圖2密碼設(shè)備管理應(yīng)用體系結(jié)構(gòu)圖4GM／T0050—2016密碼設(shè)備管理以數(shù)字證書(shū)體系為基礎(chǔ)，按照功能進(jìn)行層次劃分可分為三層，分別為：管理應(yīng)用層、管理平臺(tái)層和密碼設(shè)備層。管理應(yīng)用層主要是對(duì)密碼設(shè)備進(jìn)行的各種具體的管理應(yīng)用，包括：遠(yuǎn)程密鑰管理、遠(yuǎn)程設(shè)備監(jiān)控、遠(yuǎn)程設(shè)備維護(hù)、遠(yuǎn)程設(shè)備有效性檢測(cè)等。管理平臺(tái)層主要是在設(shè)備管理中心與密碼設(shè)備之間構(gòu)建一條安全通道，使得上層管理中心可以準(zhǔn)確定位底層密碼設(shè)備，同時(shí)與其進(jìn)行安全的數(shù)據(jù)交互。密碼設(shè)備層主要包括各種密碼設(shè)備，如：服務(wù)器密碼設(shè)備、密碼卡等，但不包括智能密碼終端設(shè)備，如：智能密碼鑰匙、智能IC卡等。密碼設(shè)備管理平臺(tái)與密碼設(shè)備之間，通過(guò)安全協(xié)議實(shí)現(xiàn)雙向身份認(rèn)證，建立應(yīng)用層安全通道并通過(guò)所協(xié)商的會(huì)話(huà)密鑰實(shí)現(xiàn)傳輸指令和數(shù)據(jù)的機(jī)密性、完整性保護(hù)。各種管理應(yīng)用通過(guò)密碼設(shè)備管理平臺(tái)與密碼設(shè)備之間建立的安全通道對(duì)密碼設(shè)備進(jìn)行具體的管理。5.4管理應(yīng)用層管理應(yīng)用為密碼設(shè)備管理、密鑰管理、設(shè)備維護(hù)、設(shè)備監(jiān)控等對(duì)密碼設(shè)備進(jìn)行狀態(tài)或數(shù)據(jù)管理的應(yīng)用。管理應(yīng)用通過(guò)設(shè)備管理總中心提供的密碼設(shè)備管理接口，獲取被管設(shè)備在數(shù)據(jù)庫(kù)中的基本信息，并向被管設(shè)備發(fā)送各應(yīng)用的具體管理指令。5.5設(shè)備管理平臺(tái)層5.5.1設(shè)備管理平臺(tái)層結(jié)構(gòu)及功能設(shè)備管理平臺(tái)層即密碼設(shè)備管理服務(wù)層，可根據(jù)實(shí)際應(yīng)用需求采用分級(jí)結(jié)構(gòu)，如分為設(shè)備管理總中心和設(shè)備管理分中心。采用分級(jí)結(jié)構(gòu)時(shí)，密碼設(shè)備管理總中心可以下設(shè)多個(gè)密碼設(shè)備管理分中心。管理總中心為上層的管理應(yīng)用提供設(shè)備管理功能，總中心通過(guò)分中心統(tǒng)一管理所有被管對(duì)象，分中心不對(duì)管理應(yīng)用提供服務(wù)?？傊行呐c分中心、分中心與密碼設(shè)備管理代理之間分別建立安全通道。密碼設(shè)備管理平臺(tái)的主要功能是通過(guò)標(biāo)準(zhǔn)的密碼設(shè)備管理接口為管理應(yīng)用層提供安全通道服務(wù)。5.5.2設(shè)備管理總中心設(shè)備管理總中心主要功能有：a)為設(shè)備管理分中心和被管對(duì)象簽發(fā)設(shè)備證書(shū)（可選b)處理設(shè)備管理分中心和被管對(duì)象的注冊(cè)和注銷(xiāo)請(qǐng)求；c)實(shí)現(xiàn)密碼設(shè)備管理接口，提供與管理應(yīng)用層交互的接入點(diǎn)；d)提供設(shè)備監(jiān)測(cè)管理功能：1)與設(shè)備管理信息庫(kù)進(jìn)行交互，對(duì)被管對(duì)象進(jìn)行基礎(chǔ)維護(hù)和管理。包括設(shè)備輪詢(xún)時(shí)間的設(shè)置、輪詢(xún)屬性的添加和修改、設(shè)備告警信息的處理等；2)對(duì)下級(jí)管理中心和被管對(duì)象的管理：包括設(shè)備狀態(tài)查詢(xún)、下級(jí)中心上報(bào)設(shè)備信息的接收處理等。5.5.3設(shè)備管理信息庫(kù)在管理平臺(tái)層的各級(jí)中心，都設(shè)有設(shè)備管理信息庫(kù)，信息庫(kù)中所包含的設(shè)備基本信息見(jiàn)表1。設(shè)備管理總中心的設(shè)備管理信息庫(kù)中存儲(chǔ)了包括設(shè)備管理分中心在內(nèi)的所有被管對(duì)象的基本信息。分中心的設(shè)備信息管理庫(kù)里只存儲(chǔ)所屬被管對(duì)象的信息。5GM／T0050—2016表1設(shè)備基本信息表信息內(nèi)容說(shuō)明設(shè)備唯一標(biāo)識(shí)由設(shè)備管理總中心根據(jù)設(shè)備用戶(hù)單位編號(hào)、設(shè)備型號(hào)、設(shè)備編號(hào)三項(xiàng)內(nèi)容串接組成的，是密碼設(shè)備在設(shè)備管理系統(tǒng)中的唯一標(biāo)識(shí)設(shè)備名稱(chēng)一個(gè)能夠說(shuō)明設(shè)備功能特點(diǎn)和類(lèi)型的名稱(chēng)，如：服務(wù)器密碼機(jī)、IPSecVPN等設(shè)備廠商設(shè)備生產(chǎn)廠商名稱(chēng)設(shè)備型號(hào)由主管部門(mén)統(tǒng)一批準(zhǔn)的設(shè)備型號(hào)設(shè)備序列號(hào)廠商對(duì)設(shè)備的自行編號(hào)，包含：生產(chǎn)日期(8字符）、生產(chǎn)批次號(hào)(3字符）、流水號(hào)(5字符）設(shè)備軟件版本號(hào)密碼設(shè)備內(nèi)部軟件版本號(hào)設(shè)備支持接口規(guī)范版本號(hào)密碼設(shè)備支持的接口規(guī)范版本號(hào)設(shè)備證書(shū)密碼設(shè)備的設(shè)備證書(shū)，證書(shū)格式符合GM/T0015規(guī)范設(shè)備非對(duì)稱(chēng)算法能力描述說(shuō)明密碼設(shè)備所支持的各種非對(duì)稱(chēng)算法，具體描述方式參見(jiàn)GM/T0018中設(shè)備信息定義的相關(guān)內(nèi)容設(shè)備對(duì)稱(chēng)算法能力描述說(shuō)明密碼設(shè)備所支持的各種對(duì)稱(chēng)密碼算法，具體描述方式參見(jiàn)GM/T0018中設(shè)備信息定義的相關(guān)內(nèi)容設(shè)備雜湊算法能力描述說(shuō)明密碼設(shè)備所支持的各種雜湊密碼算法，具體描述方式參見(jiàn)GM/T0018中設(shè)備信息定義的相關(guān)內(nèi)容設(shè)備類(lèi)型設(shè)備在系統(tǒng)中的層級(jí)屬性。包括：總中心，分中心或被管對(duì)象，由設(shè)備管理系統(tǒng)確定設(shè)備當(dāng)前狀態(tài)描述設(shè)備當(dāng)前是否工作正常，如：0代表正常；非0代表不正常，具體錯(cuò)誤由廠家使用手冊(cè)定義設(shè)備所屬中心標(biāo)識(shí)串設(shè)備樹(shù)形結(jié)構(gòu)中所屬父節(jié)點(diǎn)的設(shè)備唯一標(biāo)識(shí)串，即該設(shè)備的拓?fù)浣Y(jié)構(gòu)。由本級(jí)管理中心到該設(shè)備的父節(jié)點(diǎn)的唯一標(biāo)識(shí)按照管理層級(jí)、自頂至下排列、中間用英文句號(hào)隔開(kāi)，格式為：總中心ID.分中心ID設(shè)備IP地址設(shè)備的IP地址5.5.4設(shè)備管理分中心設(shè)備管理分中心的主要功能有：a)維護(hù)其所轄范圍內(nèi)的被管對(duì)象；b)為其所轄范圍內(nèi)的被管對(duì)象提供設(shè)備證書(shū)申請(qǐng)和設(shè)備注冊(cè)代理服務(wù)；c)處理或轉(zhuǎn)發(fā)設(shè)備管理總中心與被管對(duì)象之間的消息；d)定期輪詢(xún)其所轄范圍內(nèi)的被管對(duì)象的工作狀態(tài)，收集整理后提交設(shè)備管理總中心。設(shè)備管理分中心設(shè)有分中心的設(shè)備管理信息庫(kù)，存儲(chǔ)其所轄范圍內(nèi)的被管對(duì)象的基本信息，內(nèi)容同表1。5.6密碼設(shè)備層密碼設(shè)備層是指各種具體的被管對(duì)象，包括密碼機(jī)、密碼卡等提供密碼服務(wù)功能的設(shè)備。被管對(duì)象通過(guò)設(shè)備管理代理與設(shè)備管理平臺(tái)進(jìn)行消息交互。被管對(duì)象通過(guò)安全通道與管理中心相連。在設(shè)備端需實(shí)現(xiàn)管理代理，提供接受系統(tǒng)管理的能力。對(duì)被管對(duì)象的基本要求如下：a)算法資源要求1)支持管理平臺(tái)的設(shè)備管理算法，否則中心會(huì)拒絕該被管對(duì)象的注冊(cè)。管理算法應(yīng)使用國(guó)6GM／T0050—2016家認(rèn)可的密碼算法，如對(duì)稱(chēng)算法SM4,非對(duì)稱(chēng)算法SM2,摘要算法SM3;2)可以產(chǎn)生公私鑰對(duì)以產(chǎn)生證書(shū)申請(qǐng)，或者從外部證書(shū)認(rèn)證系統(tǒng)獲得證書(shū)；3)可以安全存儲(chǔ)被管對(duì)象自身證書(shū)和私鑰，以及直屬分中心和總中心證書(shū)。b)管理代理要求：應(yīng)實(shí)現(xiàn)管理代理，完成安全通道建立，響應(yīng)標(biāo)準(zhǔn)管理消息包。1)內(nèi)部管理代理：管理代理在被管對(duì)象內(nèi)實(shí)現(xiàn)，實(shí)現(xiàn)安全通道協(xié)議。安全通道用到的密碼服務(wù)功能，由被管對(duì)象內(nèi)部提供；2)外部管理代理：對(duì)于某些無(wú)法支持內(nèi)部管理代理功能的被管對(duì)象，可以采用外部設(shè)備管理代理進(jìn)行維護(hù)。外部設(shè)備管理代理應(yīng)存儲(chǔ)被代理設(shè)備的設(shè)備證書(shū)，負(fù)責(zé)處理所有的管理類(lèi)操作；3)外部設(shè)備管理代理操作流程：●設(shè)備管理平臺(tái)通過(guò)安全通道訪問(wèn)外部設(shè)備管理代理，發(fā)出操作請(qǐng)求；●外部設(shè)備管理代理對(duì)接收的數(shù)據(jù)包進(jìn)行包解析，確認(rèn)目標(biāo)是其所代理的某臺(tái)被管對(duì)象；●外部設(shè)備管理代理將指令中數(shù)據(jù)PDU解密獲得管理應(yīng)用的操作指令，通過(guò)內(nèi)部途徑將操作指令轉(zhuǎn)交訪問(wèn)被管設(shè)備執(zhí)行；●操作結(jié)果用外部管理代理建立的安全通道返回給設(shè)備管理平臺(tái)。5.7設(shè)備證書(shū)管理設(shè)備證書(shū)可以由設(shè)備管理總中心簽發(fā)，也可以由第三方CA簽發(fā)。設(shè)備證書(shū)的申請(qǐng)、更新等管理流程遵循CA系統(tǒng)的相關(guān)管理技術(shù)規(guī)范。系統(tǒng)中的所有被管對(duì)象在使用前需在設(shè)備管理總中心進(jìn)行注冊(cè)，用以獲得設(shè)備唯一標(biāo)識(shí)。當(dāng)設(shè)備證書(shū)由設(shè)備管理總中心簽發(fā)時(shí)，設(shè)備注冊(cè)時(shí)需提交設(shè)備信息表、證書(shū)申請(qǐng)和支持的算法，總中心負(fù)責(zé)分配設(shè)備唯一標(biāo)識(shí)和簽發(fā)證書(shū)。當(dāng)設(shè)備證書(shū)由外部第三方CA簽發(fā)時(shí)，設(shè)備注冊(cè)需提交設(shè)備信息表和支持的算法，總中心負(fù)責(zé)分配設(shè)備唯一標(biāo)識(shí)。注冊(cè)分為設(shè)備管理分中心注冊(cè)和被管設(shè)備注冊(cè)流程。5.8.2設(shè)備管理分中心注冊(cè)設(shè)備管理分中心注冊(cè)流程如下：a)設(shè)備管理分中心產(chǎn)生證書(shū)申請(qǐng)；b)設(shè)備管理分中心將設(shè)備信息表、證書(shū)申請(qǐng)和支持的算法一起提交給設(shè)備管理總中心，算法標(biāo)識(shí)定義參見(jiàn)GM/T0006;c)設(shè)備管理總中心對(duì)申請(qǐng)進(jìn)行審核。審核通過(guò)則在設(shè)備管理信息庫(kù)中記錄該分中心信息；審核不通過(guò)則拒絕該申請(qǐng)（如：不支持分中心使用的算法等GM/T0015),導(dǎo)出總中心設(shè)備證書(shū)和分中心設(shè)備證書(shū)，下發(fā)給設(shè)備分中心；e)設(shè)備管理分中心導(dǎo)入分中心設(shè)備證書(shū)和總中心設(shè)備證書(shū)。注：分中心注冊(cè)的信息傳遞采用離線(xiàn)方式。5.8.3被管對(duì)象注冊(cè)被管對(duì)象注冊(cè)流程如下：7GM／T0050—2016a)被管設(shè)備產(chǎn)生證書(shū)申請(qǐng)；b)被管設(shè)備將設(shè)備信息表、證書(shū)申請(qǐng)和支持的算法一起提交給設(shè)備管理分中心，算法標(biāo)識(shí)定義參見(jiàn)GM/T0006;c)設(shè)備管理分中心通過(guò)與總中心之間建立的安全通道，將該注冊(cè)申請(qǐng)轉(zhuǎn)發(fā)給總中心；d)設(shè)備管理總中心對(duì)申請(qǐng)進(jìn)行審核。審核通過(guò)則在設(shè)備管理信息庫(kù)中記錄該設(shè)備信息。如果不支持設(shè)備采用的算法則拒絕該申請(qǐng)；e)設(shè)備管理總中心簽發(fā)設(shè)備證書(shū)，導(dǎo)出設(shè)備證書(shū)和總中心設(shè)備證書(shū)，通過(guò)安全通道下發(fā)給設(shè)備分f)設(shè)備管理分中心將總中心證書(shū)、分中心證書(shū)和設(shè)備證書(shū)下發(fā)給被管設(shè)備；g)被管設(shè)備導(dǎo)入設(shè)備證書(shū)、分中心設(shè)備證書(shū)和總中心設(shè)備證書(shū)。注：被管設(shè)備向管理分中心的注冊(cè)采用為離線(xiàn)方式，分中心與總中心間通過(guò)安全通道傳遞注冊(cè)信息。6安全通道消息安全通道協(xié)議是用于設(shè)備管理中心與密碼設(shè)備管理代理之間的管理信息交互的安全協(xié)議，其實(shí)現(xiàn)設(shè)備管理應(yīng)用與密碼設(shè)備之間應(yīng)用層安全連接的建立，為應(yīng)用層信息交互提供機(jī)密性和完整性保護(hù)。安全通道協(xié)議框架見(jiàn)附錄B。6.2安全通道消息6.2.1安全通道消息格式定義安全通道消息是密碼設(shè)備管理平臺(tái)在被管設(shè)備與管理中心之間建立和維護(hù)安全會(huì)話(huà)連接的初始化協(xié)議消息，用于確保會(huì)話(huà)兩端的可信身份，以及所承載管理消息的機(jī)密性和完整性。本部分定義了安全通道消息的格式，并說(shuō)明了安全通道建立和使用的時(shí)機(jī)。下文消息格式中的簽名值為對(duì)圖3所示結(jié)構(gòu)的除簽名值以外的所有內(nèi)容的簽名，由消息產(chǎn)生者簽名。采用SM2算法時(shí)簽名的格式遵循GM/T0009,采用RSA算法時(shí)，遵循PKCS#1規(guī)范。消息格式如圖3所示：圖3安全通道消息格式定義傳送數(shù)據(jù)按照網(wǎng)絡(luò)字節(jié)序傳輸。b)消息安全模式：目前只設(shè)置低3位(D2D1D0),分別代表是否需要回復(fù)信息(D2),是否加密(D1)和是否簽名(D0)。D2置為0表示不需回復(fù)，1表示需要回復(fù)；D1置為0表示未加密，1表示已加密；D0置為0表示未簽名／未計(jì)算HMAC,1表示已簽名／已計(jì)算HMAC;c)消息ID：用來(lái)防止重放，每個(gè)被管設(shè)備自己維護(hù)，依次遞增，當(dāng)大于某個(gè)指定值時(shí)，應(yīng)重新建立安全通道，重新建立以后該消息ID清0;d)PDU長(zhǎng)度：消息PDU字節(jié)長(zhǎng)度；e)目的方ID：目的方注冊(cè)時(shí)從設(shè)備管理總中心獲得的設(shè)備唯一性標(biāo)識(shí)(deviceID);f)發(fā)送方ID：設(shè)備管理總中心或分中心的唯一性標(biāo)識(shí)(deviceID)。當(dāng)目的方ID與接收方自身8GM／T0050—2016ID不一致時(shí)，則接受方嘗試通過(guò)接收方與目的方的安全通道轉(zhuǎn)發(fā)這條消息，如安全通道不存在，則中止轉(zhuǎn)發(fā)；g)操作類(lèi)型：密碼設(shè)備管理平臺(tái)管理消息的類(lèi)型，具體值參見(jiàn)本標(biāo)準(zhǔn)的6.2.2、6.2.3、6.2.4和h)消息PDU：密碼設(shè)備管理平臺(tái)承載的管理應(yīng)用所發(fā)送的管理消息，包括安全通道消息、設(shè)備管理的消息和管理應(yīng)用的消息。管理應(yīng)用消息首字節(jié)為管理應(yīng)用的標(biāo)識(shí)（密鑰管理：0XC0,遠(yuǎn)程監(jiān)控：0XC1,參數(shù)配置：0XC2,遠(yuǎn)程維護(hù)：0XC3,有效性檢測(cè)：0XC4,其他應(yīng)用標(biāo)識(shí)待擴(kuò)展用于設(shè)備管理代理將管理應(yīng)用指令轉(zhuǎn)發(fā)至對(duì)應(yīng)管理應(yīng)用代理。安全通道消息的數(shù)據(jù)包格式參見(jiàn);設(shè)備管理消息的數(shù)據(jù)包格式參見(jiàn)第8章。管理應(yīng)用的消息由各應(yīng)用自主制定，并調(diào)用管理應(yīng)用接口發(fā)送；i)簽名值/HMAC值長(zhǎng)度：簽名值或者HMAC值的長(zhǎng)度；j)簽名值/HMAC：對(duì)消息頭和消息PDU的簽名值（建立安全通道時(shí)）或HMAC值（安全通道發(fā)送數(shù)據(jù)時(shí)）。6.2.2安全通道建立請(qǐng)求消息格式安全通道建立請(qǐng)求消息格式如圖4所示：其中版本號(hào)和安全模式參見(jiàn)本標(biāo)準(zhǔn)的6.2.1。名稱(chēng)說(shuō)明版本號(hào)1消息頭安全模式1保留2消息ID8PDU長(zhǎng)度4目的方ID（管理中心）發(fā)送方ID（代理）操作類(lèi)型(0xA1)1管理中心公鑰對(duì)隨機(jī)數(shù)A的加密結(jié)果長(zhǎng)度4消息PDU管理中心公鑰對(duì)隨機(jī)數(shù)A的加密結(jié)果N管理中心公鑰對(duì)隨機(jī)數(shù)A的簽名值長(zhǎng)度4管理代理私鑰對(duì)隨機(jī)數(shù)A的簽名值N管理代理私鑰對(duì)消息頭和消息PDU的簽名值長(zhǎng)度4消息尾管理代理私鑰對(duì)消息頭和消息PDU的簽名值N圖4安全通道建立請(qǐng)求消息包格式6.2.3安全通道建立響應(yīng)消息格式安全通道建立響應(yīng)消息格式如圖5所示。9GM／T0050—2016名稱(chēng)說(shuō)明版本號(hào)1消息頭安全模式1保留2消息ID8PDU長(zhǎng)度4目的方ID（管理中心）發(fā)送方ID（代理）操作類(lèi)型(0xA2)1管理代理公鑰對(duì)隨機(jī)數(shù)A和隨機(jī)數(shù)B的加密結(jié)果長(zhǎng)度4消息PDU管理代理公鑰對(duì)隨機(jī)數(shù)A和隨機(jī)數(shù)B的加密結(jié)果N管理中心私鑰對(duì)隨機(jī)數(shù)B的簽名值長(zhǎng)度4管理中心私鑰對(duì)隨機(jī)數(shù)B的簽名值N管理代理私鑰對(duì)消息頭和消息PDU的簽名值長(zhǎng)度4消息尾管理中心私鑰對(duì)消息頭和消息PDU的簽名值N圖5安全通道建立響應(yīng)消息包格式6.2.4安全通道數(shù)據(jù)發(fā)送消息格式安全通道數(shù)據(jù)發(fā)送的管理消息由所承載的應(yīng)用定義，首字節(jié)為管理應(yīng)用的標(biāo)識(shí)。數(shù)據(jù)發(fā)送消息格式如圖6所示。名稱(chēng)說(shuō)明版本號(hào)1消息頭安全模式1保留2消息ID8PDU長(zhǎng)度4目的方ID（管理中心）發(fā)送方ID（代理）操作類(lèi)型(0xA3)1被安全通道會(huì)話(huà)密鑰保護(hù)的消息N消息PDU管理代理私鑰對(duì)消息頭和消息PDU的HMAC值長(zhǎng)度4消息尾管理中心私鑰對(duì)消息頭和消息PDU的HMAC值N圖6安全通道數(shù)據(jù)發(fā)送消息包格式GM／T0050—20166.2.5通知重啟安全通道消息格式管理中心發(fā)起的要求下級(jí)管理節(jié)點(diǎn)重新建立安全通道的消息格式。下級(jí)節(jié)點(diǎn)收到該消息后使用6.2.2消息重新建立安全通道。具體消息格式如圖7所示。名稱(chēng)說(shuō)明版本號(hào)1消息頭安全模式1保留2消息ID8PDU長(zhǎng)度4目的方ID（管理中心）發(fā)送方ID（代理）操作類(lèi)型(0xA4)1管理中心私鑰對(duì)消息頭的簽名值4消息尾管理中心私鑰對(duì)消息頭的簽名值N圖7通知重啟安全通道消息包格式6.3安全通道建立時(shí)機(jī)安全通道采用自下向上分層建立的方式（安全通道建立流程參見(jiàn)附錄B),安全通道可以采用長(zhǎng)連接方式也可以采用短連接方式，其建立時(shí)機(jī)如下：a)管理分中心啟動(dòng)時(shí)，與管理總中心建立安全通道；b)被管設(shè)備啟動(dòng)時(shí)，與管理分中心建立安全通道；c)如果安全通道連接超時(shí)或者出錯(cuò)，管理中心通過(guò)其他手段通知分中心管理員或者設(shè)備管理員，重新建立安全通道；d)當(dāng)防止重放的消息ID大于某個(gè)特定值時(shí)，上級(jí)管理中心應(yīng)和底層設(shè)備重新建立安全通道。上級(jí)管理中心必須向該設(shè)備發(fā)送清零通知，被管設(shè)備將消息ID清零，然后由被管設(shè)備發(fā)起建立安全通道。當(dāng)安全通道采用長(zhǎng)連接方式時(shí)，底層設(shè)備或分中心與上層中心建立并長(zhǎng)期保持該連接；當(dāng)安全通道采用短連接方式時(shí)，底層設(shè)備或分中心與上層中心建立連接并完成數(shù)據(jù)發(fā)送后即斷開(kāi)與上層中心的連接，需要發(fā)送數(shù)據(jù)時(shí)重新啟動(dòng)連接。6.4安全通道的使用管理中心與被管設(shè)備之間的所有消息，都通過(guò)安全通道發(fā)送。發(fā)送方和目的方之間如需經(jīng)過(guò)分中心，發(fā)送方需把該信息打包傳遞給分中心，分中心負(fù)責(zé)轉(zhuǎn)發(fā)給目的方。7設(shè)備管理信息7.1設(shè)備管理信息定義設(shè)備管理信息，指對(duì)密碼設(shè)備管理系統(tǒng)對(duì)密碼設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)查詢(xún)或配置的標(biāo)準(zhǔn)數(shù)據(jù)格式。GM／T0050—2016管理中心根據(jù)第8章定義的設(shè)備管理消息對(duì)密碼設(shè)備進(jìn)行管理信息的查詢(xún)和配置，被管密碼設(shè)備需支持本章定義的管理屬性，用于管理中心查詢(xún)和配置。7.2數(shù)據(jù)類(lèi)型定義表2數(shù)據(jù)類(lèi)型定義表數(shù)據(jù)類(lèi)型定義類(lèi)型名稱(chēng)描述這幾個(gè)數(shù)據(jù)類(lèi)型為基本類(lèi)型，開(kāi)發(fā)者可根據(jù)硬件平臺(tái)定義，方便移植。本標(biāo)準(zhǔn)中的其他數(shù)據(jù)類(lèi)型都是基于這幾種基本類(lèi)型INT8有符號(hào)8位整數(shù)INT32有符號(hào)32位整數(shù)UINT8無(wú)符號(hào)8位整數(shù)UINT32無(wú)符號(hào)32位整數(shù)INT64有符號(hào)64位整數(shù)UINT64無(wú)符號(hào)64位整數(shù)typedefUINT8SDM_BYTE無(wú)符號(hào)字符typedefINT32SDM_INT3232位整數(shù)typedefINT64SDM_INT6464位整數(shù)typedefUINT32SDM_UINT3232位非負(fù)整數(shù)typedefUINT64SDM_UINT6464位非負(fù)整數(shù)SDMUINT32len;SDM_OCTET_STRING0或更多位的8位數(shù)組SDM_NULL空SDM_COUNTER3232位計(jì)數(shù)器，從0開(kāi)始，到最大值后復(fù)位SDM_COUNTER6464位計(jì)數(shù)器，從0開(kāi)始，到最大值后復(fù)位SDM_AID被管設(shè)備屬性標(biāo)識(shí)SDM_TimeTicks計(jì)時(shí)值，計(jì)量某一時(shí)刻后的時(shí)間，以百分之一秒計(jì)時(shí)可顯示的位SDM_TruthValueSDM_MacAddress字節(jié)的代表地址SDM_TestAndIncr代表互斥操作的鎖，自動(dòng)遞增SDM_RowStatus表中某一行的狀態(tài)，提供了對(duì)表內(nèi)的行進(jìn)行添加刪除的功能SDM_DateAndTime8字節(jié)的OCTETSTRINGGM／T0050—2016數(shù)據(jù)類(lèi)型定義類(lèi)型名稱(chēng)描述2:volatile存儲(chǔ)在內(nèi)存中，重啟會(huì)丟失重新啟動(dòng)值會(huì)恢復(fù)初始值4:permanent,可以更改但不能刪除5:readOnly,不能被修改和刪除{}公鑰信息結(jié)構(gòu){SDM_INT32SDM_BYTE}簽名信息結(jié)構(gòu){SDM_INT32SDM_BYTE}證書(shū)申請(qǐng)Typedef{SDM_INT32SDM_BYTE}uiCertLen;SDM_Cert證書(shū)其中表3時(shí)間定義表字節(jié)說(shuō)明取值范圍1~2年0001~99993月1~124日1~315小時(shí)0~236分鐘0~597秒0~60（閏秒）7.3管理信息層次結(jié)構(gòu)密碼設(shè)備管理面向被管對(duì)象，管理被管對(duì)象可以通過(guò)讀取和設(shè)置密碼設(shè)備屬性操作來(lái)完成。管理信息按照層次式樹(shù)型結(jié)構(gòu)組織和排列，如圖8所示。GM／T0050—2016圖8被管對(duì)象屬性樹(shù)形結(jié)構(gòu)被管對(duì)象的屬性分為基本信息組、接口組、管理實(shí)體組和私有組?；拘畔⒔M：被管對(duì)象基本屬性，帶星號(hào)的是可選項(xiàng)。接口組：被管對(duì)象所支持的物理接口，本組可選。管理實(shí)體組：管理消息的屬性，本組可選。私有組：管理應(yīng)用下發(fā)的、被管對(duì)象解析的屬性信息。各管理應(yīng)用自主定義私有組內(nèi)容。屬性的標(biāo)識(shí)定義為AID,采用整數(shù)劃分范圍的方式。AID為64位整數(shù)，0~7位代表組別，8~23位代表管理應(yīng)用的標(biāo)識(shí)號(hào)（通用項(xiàng)為0),24~31位代表不同的屬性編號(hào)，如果是表對(duì)象，32~55位代表行號(hào)，最后8位代表表對(duì)象的子屬性編號(hào)。GM／T0050—2016本章7.4對(duì)設(shè)備部分屬性的AID進(jìn)行定義，設(shè)備廠商和設(shè)備管理中心平臺(tái)廠商應(yīng)按照此規(guī)則開(kāi)發(fā)。未定義的部分可按照AID定義規(guī)則自行擴(kuò)展。7.4屬性定義密碼設(shè)備的管理屬性，是密碼設(shè)備可被管理的具體數(shù)據(jù)對(duì)象。表4基本信息定義表名稱(chēng)AID類(lèi)型訪問(wèn)權(quán)限描述廠商名稱(chēng)0x010000010x00000000只讀設(shè)備生產(chǎn)廠商名稱(chēng)設(shè)備型號(hào)0x010000020x00000000只讀設(shè)備型號(hào)設(shè)備序列號(hào)0x010000030x00000000只讀設(shè)備序列號(hào)，包含：日期(8字符）、批次號(hào)(3字符）、流水號(hào)(5字符）系統(tǒng)版本號(hào)0x010000040x00000000只讀被管對(duì)象內(nèi)部軟件的版本號(hào)管理協(xié)議版本號(hào)0x010000050x00000000只讀被管對(duì)象支持的接口規(guī)范版本號(hào)設(shè)備描述0x010000060x00000000只讀設(shè)備描述，可選已運(yùn)行時(shí)間0x010000070x00000000SDM_TimeTicks只讀設(shè)備啟動(dòng)時(shí)開(kāi)始計(jì)時(shí)聯(lián)系方式0x010000080x00000000讀寫(xiě)設(shè)備管理員聯(lián)系方式設(shè)備名稱(chēng)0x010000090x00000000讀寫(xiě)設(shè)備名稱(chēng)設(shè)備位置0x0100000a0x00000000讀寫(xiě)設(shè)備的物理位置非對(duì)稱(chēng)算法0x0100000b0x00000000SDM_INT64只讀前4字節(jié)表示支持的算法，表示方法為非對(duì)稱(chēng)算法標(biāo)識(shí)按位或的結(jié)果；后4字節(jié)表示算法的最大模長(zhǎng)，表示方法為支持的模長(zhǎng)按位或的結(jié)果對(duì)稱(chēng)算法0x0100000c0x00000000SDM_INT32只讀對(duì)稱(chēng)算法標(biāo)志按位或雜湊算法0x0100000d0x00000000SDM_INT32只讀雜湊算法標(biāo)志按位或管理組（表對(duì)象）0x0100000e0x00000000管理組對(duì)象ID:SDM_INT640x0100000e0x00000001只讀支持的屬性組，一行代表一個(gè)組別，至少有一行，代表基本信息組管理組對(duì)象描述：0x0100000e0x00000002只讀上次該行賦值時(shí)間：SDM_TimeTicks0x0100000e0x00000003讀寫(xiě)ControlStatus:SDM_RowStatus0x0100000e0x00000004讀寫(xiě)控制添加和刪除的狀態(tài)變量置為0表示刪除該行GM／T0050—2016名稱(chēng)AID類(lèi)型訪問(wèn)權(quán)限描述設(shè)備唯一標(biāo)識(shí)0x0100000f0x00000000只讀注冊(cè)時(shí)總中心向下分配設(shè)備唯一標(biāo)識(shí)時(shí)使用，設(shè)備型號(hào)、設(shè)備編號(hào)、所屬系統(tǒng)證書(shū)申請(qǐng)0x010000110x00000000只讀注冊(cè)時(shí)分中心通過(guò)安全通道向總中心轉(zhuǎn)發(fā)證書(shū)申請(qǐng)時(shí)使用總中心證書(shū)0x010000120x00000000SDM_Cert只讀如果總中心是CA,利用安全通道下發(fā)證書(shū)時(shí)使用父節(jié)點(diǎn)證書(shū)0x010000130x00000000SDM_Cert只讀利用安全通道發(fā)證書(shū)時(shí)使用被管設(shè)備證書(shū)0x010000140x00000000SDM_Cert只讀利用安全通道發(fā)證書(shū)時(shí)使用表5接口組定義表名稱(chēng)AID類(lèi)型訪問(wèn)權(quán)限描述接口數(shù)目0x020000010x00000000SDM_INT32讀寫(xiě)設(shè)備上存在的接口數(shù)目，包括物理接口和虛擬接口接口信息表0x020000020x00000000IfName:0x020000020x00000001只讀接口名稱(chēng)IfDescr:0x020000020x00000002只讀接口描述SDM_INT320x020000020x00000003只讀接口類(lèi)型IfAddress:SDM_OCTET_STRING0x020000020x00000004只讀物理地址IfMTU:SDM_INT320x020000020x00000005只讀最大包長(zhǎng)SDM_INT640x020000020x00000006只讀接口速率IfInPacket:SDM_INT640x020000020x00000007只讀收到總包數(shù)IfOutPacket:SDM_INT640x020000020x00000008只讀發(fā)送總包數(shù)GM／T0050—2016名稱(chēng)AID類(lèi)型訪問(wèn)權(quán)限描述接口信息表0x020000020x00000000IfErrPakcet:SDM_INT640x020000020x00000009只讀出錯(cuò)包數(shù)SDM_INT320x020000020x0000000a只讀是否允許接口發(fā)送trap包SDM_TimeTicks0x020000020x0000000b讀寫(xiě)接口被修改時(shí)間IfControlStatus:SDM_RowStatus0x020000020x0000000c讀寫(xiě)控制接口添加和刪除的狀態(tài)變量表6管理實(shí)體組定義表名稱(chēng)AID類(lèi)型訪問(wèn)權(quán)限描述收到的管理包數(shù)0x030000010x00000000SDM_INT32只讀發(fā)送的管理包數(shù)0x030000020x00000000SDM_INT32只讀錯(cuò)誤的管理包數(shù)0x030000030x00000000SDM_INT32只讀發(fā)送的告警包數(shù)0x030000040x00000000SDM_INT32只讀告警閾值設(shè)置表0x030000050x00000000SDM_AID0x030000050x00000001只讀設(shè)置閾值的對(duì)象TrapLValueSDM_INT320x030000050x00000002讀寫(xiě)低于多少告警TrapRValueSDM_INT320x030000050x00000003讀寫(xiě)高于多少告警TrapSetTimeSDM_TimeTicks0x030000050x00000004讀寫(xiě)上次設(shè)置時(shí)間SDM_RowStatus0x030000050x00000005讀寫(xiě)告警行添加刪除控制變量GM／T0050—20168設(shè)備管理消息8.1設(shè)備管理消息格式定義設(shè)備管理總中心和設(shè)備管理分中心，設(shè)備管理分中心和被管設(shè)備之間通過(guò)安全通道進(jìn)行消息交互，消息的格式見(jiàn)本標(biāo)準(zhǔn)的6.2。在安全通道協(xié)議報(bào)文中，設(shè)備管理消息封裝在安全通道消息PDU中，被安全通道會(huì)話(huà)密鑰加密保護(hù)。消息頭中的“操作類(lèi)型”為0XA3。消息尾為16字節(jié)的HMAC,用安全通道會(huì)話(huà)密鑰對(duì)消息頭和消息PDU密文作HMAC,密碼設(shè)備管理的應(yīng)用標(biāo)識(shí)為0X00。如表7所示。表7標(biāo)準(zhǔn)管理應(yīng)用消息包格式名稱(chēng)說(shuō)明版本號(hào)1消息頭安全模式1保留2消息ID8PDU長(zhǎng)度4（管理中心）發(fā)送方ID（代理）操作類(lèi)型(0xA3)1密碼設(shè)備管理應(yīng)用標(biāo)識(shí)(0x00)1被安全通道會(huì)話(huà)密鑰保護(hù)的設(shè)備管理消息PDU密碼設(shè)備管理消息N安全通道會(huì)話(huà)密鑰對(duì)消息頭和消息PDU計(jì)算的16字節(jié)的MAC值消息尾HMAC是用SM3算法，用安全通道會(huì)話(huà)密鑰計(jì)算HMAC,取前16字節(jié)。加密填充方法：第一個(gè)字節(jié)為0x80,其后為若干0x00,填充到分組長(zhǎng)度整數(shù)倍。被管實(shí)體中的管理代理應(yīng)該實(shí)現(xiàn)以下7個(gè)標(biāo)準(zhǔn)操作，并接受管理中心對(duì)密碼設(shè)備的管理屬性（第7章定義）的查詢(xún)和配置：a)get操作，獲得某個(gè)屬性值；b)get-next操作，對(duì)于包里的每個(gè)屬性，獲得下一個(gè)字典序的屬性值；操作響應(yīng)d)set操作，修改某個(gè)屬性；e)get-bulk操作，批量獲得屬性值；f)trap操作，達(dá)到告警值時(shí)發(fā)送一個(gè)告警信息；g)inform操作，發(fā)送需要應(yīng)答的告警信息。具體消息格式定義如后續(xù)章節(jié)所述，封裝在安全通道消息PDU中。其他針對(duì)特定設(shè)備的操作由設(shè)備廠商自行擴(kuò)展。GM／T0050—2016操作消息獲得某個(gè)屬性值，包格式如表8所示：應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB0屬性標(biāo)識(shí)1屬性標(biāo)識(shí)n操作消息對(duì)于包里的每個(gè)屬性，獲得下一個(gè)字典序的值（字典序的概念參考SNMP協(xié)議包格式如表9所示：操作消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB1屬性標(biāo)識(shí)1屬性標(biāo)識(shí)n操作消息響應(yīng)操作包格式如表所示：操作消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB2錯(cuò)誤響應(yīng)標(biāo)識(shí)(1字節(jié)）變量綁定其中，錯(cuò)誤響應(yīng)標(biāo)識(shí)用來(lái)表明消息是正常響應(yīng)還是錯(cuò)誤響應(yīng)，正常響應(yīng)用0x00標(biāo)識(shí)，包格式具體如表11正常響應(yīng)消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB2字節(jié)屬性標(biāo)識(shí)1,屬性標(biāo)識(shí)2,…屬性標(biāo)識(shí)n其中，值長(zhǎng)度是對(duì)應(yīng)屬性值的字節(jié)數(shù)，為網(wǎng)絡(luò)字節(jié)序的4字節(jié)整型，以下同。錯(cuò)誤響應(yīng)用0x01標(biāo)識(shí)包格式具體如表12所示：表12錯(cuò)誤響應(yīng)消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB2字節(jié)屬性標(biāo)識(shí)1,錯(cuò)誤碼1屬性標(biāo)識(shí)2,錯(cuò)誤碼2…屬性標(biāo)識(shí)n錯(cuò)誤碼n其中，錯(cuò)誤碼緊跟屬性標(biāo)識(shí)，描述該屬性的錯(cuò)誤情況。操作消息修改某個(gè)屬性，包格式如表13所示：應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB3屬性標(biāo)識(shí)1,值長(zhǎng)度，值屬性標(biāo)識(shí)2,值長(zhǎng)度，值…屬性標(biāo)識(shí)n值長(zhǎng)度，值GM／T0050—2016操作消息N和M分別代表對(duì)變量綁定的前N個(gè)變量做get-next操作，對(duì)后面的變量做M次的get-next循環(huán)操作，包格式如表14所示：操作消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB4屬性標(biāo)識(shí)1屬性標(biāo)識(shí)2…屬性標(biāo)識(shí)n操作消息發(fā)送通知信息，需要應(yīng)答以確認(rèn)發(fā)送成功。當(dāng)是注冊(cè)消息時(shí)，通知類(lèi)型為0x00;當(dāng)是告警消息時(shí)，通知類(lèi)型為0x01;當(dāng)是注銷(xiāo)消息時(shí)，通知類(lèi)型為0x02。包格式如表15所示：操作消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB5通知類(lèi)型(1字節(jié)）屬性標(biāo)識(shí)1,屬性標(biāo)識(shí)2,…屬性標(biāo)識(shí)n操作消息發(fā)送通知信息，且不需要應(yīng)答。通知類(lèi)型定義同inform操作。包格式如表16所示：操作消息數(shù)據(jù)包格式定義表應(yīng)用標(biāo)識(shí)0x00類(lèi)型0xB6通知類(lèi)型(1字節(jié)）屬性標(biāo)識(shí)1,屬性標(biāo)識(shí)2,…屬性標(biāo)識(shí)n9設(shè)備管理平臺(tái)對(duì)管理應(yīng)用提供的接口設(shè)備管理平臺(tái)對(duì)管理應(yīng)用提供4類(lèi)接口，包括：系統(tǒng)初始化類(lèi)接口、設(shè)備屬性管理類(lèi)接口、數(shù)據(jù)發(fā)送類(lèi)接口和告警信息管理類(lèi)接口。具體接口如下：a)系統(tǒng)初始化類(lèi)接口：b)設(shè)備屬性管理類(lèi)接口：導(dǎo)出設(shè)備證書(shū)c)數(shù)據(jù)發(fā)送類(lèi)接口：發(fā)送數(shù)據(jù)GM／T0050—2016d)告警信息管理類(lèi)接口：9.2系統(tǒng)初始化類(lèi)接口9.2.1初始化設(shè)備管理環(huán)境原型描述：初始化設(shè)備管理，獲得設(shè)備管理安全通道句柄。參數(shù)返回的設(shè)備管理句柄非0失敗，返回錯(cuò)誤代碼，見(jiàn)附錄A備注：接口內(nèi)部連接拓?fù)鋽?shù)據(jù)庫(kù)，獲得連接標(biāo)識(shí)，用于獲取被管設(shè)備的管理位置。9.2.2退出設(shè)備管理環(huán)境原型描述：釋放設(shè)備管理句柄。參數(shù)設(shè)備管理句柄非0失敗，返回錯(cuò)誤代碼備注：9.3設(shè)備屬性管理類(lèi)接口原型描述：獲取被管設(shè)備總數(shù)。參數(shù)設(shè)備管理句柄返回被管設(shè)備數(shù)目返回設(shè)備唯一標(biāo)識(shí)列表成功失敗，返回錯(cuò)誤代碼備注：9.3.2根據(jù)編號(hào)獲得設(shè)備信息原型GM／T0050—2016描述：根據(jù)設(shè)備在系統(tǒng)中的編號(hào)獲得設(shè)備的信息。參數(shù)設(shè)備管理句柄設(shè)備唯一標(biāo)識(shí)設(shè)備信息非0失敗，返回錯(cuò)誤代碼備注：1.設(shè)備唯一標(biāo)識(shí)在注冊(cè)時(shí)由設(shè)備管理總中心統(tǒng)一分發(fā)，以后接口參數(shù)也按照此規(guī)定；2.下面是設(shè)備信息結(jié)構(gòu)體的定義，其中FatherTopo是設(shè)備管理信息庫(kù)中的設(shè)備所屬中心標(biāo)識(shí)串。支持的最大文件存儲(chǔ)空間（單位字節(jié)是總中心分中心是被管設(shè)備；設(shè)備狀態(tài)正常異常設(shè)備所屬父節(jié)點(diǎn)；}DEVICEINFO;9.3.3批量獲取設(shè)備屬性值原型描述：獲取設(shè)備多項(xiàng)屬性。參數(shù)設(shè)備管理句柄deviceID[in]設(shè)備唯一標(biāo)識(shí)AIDCount[in]要獲得設(shè)備屬性的數(shù)量設(shè)備屬性的編碼數(shù)組設(shè)備屬性值，按照屬性依次排列，根據(jù)屬性長(zhǎng)度劃分GM／T0050—2016備注：設(shè)備屬性值長(zhǎng)度數(shù)組成功失敗，返回錯(cuò)誤代碼9.3.4設(shè)置設(shè)備屬性值原型,描述：設(shè)置指定設(shè)備的某項(xiàng)屬性。參數(shù)設(shè)備管理句柄deviceID[in]設(shè)備唯一標(biāo)識(shí)設(shè)備屬性的編碼dataLen[in]設(shè)備屬性值長(zhǎng)度設(shè)備屬性值成功失敗，返回錯(cuò)誤代碼備注：9.3.5導(dǎo)出設(shè)備證書(shū)原型描述：導(dǎo)出指定設(shè)備的證書(shū)。參數(shù)設(shè)備管理句柄deviceID[in]要導(dǎo)出的設(shè)備唯一標(biāo)識(shí)certData[out]證書(shū)數(shù)據(jù)證書(shū)長(zhǎng)度成功失敗，返回錯(cuò)誤代碼備注：9.4數(shù)據(jù)發(fā)送類(lèi)接口9.4.1使用安全通道發(fā)送數(shù)據(jù)原型GM／T0050—2016unsignedint*replyDatalen描述：使用和指定設(shè)備之間的安全通道發(fā)送數(shù)據(jù)。參數(shù)設(shè)備管理句柄deviceID設(shè)備唯一標(biāo)識(shí)要發(fā)送的消息數(shù)據(jù)長(zhǎng)度sendData[in]