密码设备管理方法及管理平台技术

本发明专利技术公开一种密码设备管理方法及管理平台，方法包括基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥；在所述安全通道的有效期内，基于所述会话密钥和预先定义的协议消息结构对各所述密码设备对应的被管对象属性进行管理和状态监控；其中，预先定义的协议消息结构包括采用JSON对象进行描述的消息头、消息数据部和消息签名部，协议消息结构所封装的信息为密码设备的管理监控配置参数；本发明专利技术基于HTTP协议预先定义REST风格的密码设备管理协议的消息结构，提高了密码设备管理方法的易用性和兼容性，且满足安全性要求。且满足安全性要求。且满足安全性要求。

【技术实现步骤摘要】
密码设备管理方法及管理平台


[0001]本专利技术涉及密码应用
，具体涉及一种密码设备管理方法及管理平台。

技术介绍

[0002]GM/T 0050
‑
2016《密码设备管理 设备管理技术规范》是我国商用密码领域关于密码设备管理的一项技术标准，该标准定义了商用密码设备管理的安全报文格式和安全通道建立流程。GM/T 0050
‑
2016的安全报文格式是基于传统的TLV（Type/Length/Value）风格，与SNMP（Simple Network Management Protocol,简单网络管理协议）较为相近。而当前大多数设备和操作系统都采用HTTP（HyperText Transfer Protocol,超文本传输协议）进行管理和业务控制，对GM/T 0050的支持存在一定的困难。
[0003]公布号为CN115412242A的专利申请文献提出了一种全浏览器调用智能密码钥匙密码应用实现方法，通过基于本机HTTPS服务，解决调用智能密码钥匙时的跨域问题及HTTPS页面禁止加载HTTP服务资源的问题，但该方案属于浏览器本地密码服务调用，所封装的消息为对智能密码钥匙的调用参数，具体格式接近远程函数调用。

技术实现思路

[0004]本专利技术所要解决的技术问题在于如何提供一种基于HTTP协议并符合GM/T 0050
‑
2016《密码设备管理 设备管理技术规范》中定义的报文基本结构和安全属性的REST（Representational State Transfer）风格的密码设备管理方法。
[0005]本专利技术是通过以下技术手段解决上述技术问题的：一方面，本专利技术提出了一种密码设备管理方法，所述方法包括：基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥；在所述安全通道的有效期内，基于所述会话密钥和预先定义的协议消息结构对各所述密码设备对应的被管对象属性进行管理和状态监控；其中，预先定义的协议消息结构采用JSON对象封装对密码设备的管理监控配置参数。
[0006]进一步地，所述协议消息结构包括采用JSON对象进行描述的消息头header、消息数据部payload和消息签名部signature；所述消息头header的参数包括安全模式、消息ID号、接收方标识、发送方标识及交互操作类型。
[0007]进一步地，所述消息头header还包括协议版本号、加密算法、签名算法以及带密钥的密码杂凑算法。
[0008]进一步地，所述安全模式包括三个布尔类型参数，分别表示是否回复、是否加密及是否签名或计算杂凑值；每个布尔类型参数的参数值为TRUE或FALSE。
[0009]进一步地，所述交互操作类型包括安全通道建立请求、安全通道建立响应、安全通道数据发送及安全通道重启通知。
[0010]进一步地，所述消息数据部payload的参数包括采用加密算法时的初始化向量、管理应用类型标识、信息操作类型以及密文。
[0011]进一步地，所述管理应用类型标识包括密钥管理、远程监控、参数配置、远程维护以及有效性验证。
[0012]进一步地，所述密文采用base64编码格式表示。
[0013]进一步地，所述消息签名部signature包括交互操作类型为安全通道建立请求时对应的第一数字签名、交互操作类型为安全通道建立响应时对应的第二数字签名、交互操作类型为安全通道建立响应时对应的第三数字签名以及交互操作类型为安全通道数据发送时对应的第四数字签名。
[0014]进一步地，所述第一数字签名为采用所述密码设备的私钥对消息头header和消息数据部payload加密得到；所述第二数字签名和所述第三数字签名为采用密码设备管理平台的私钥对消息头header和消息数据部payload加密得到；所述第四数字签名为采用所述会话密钥计算消息头header和消息数据部payload的密码杂凑值。
[0015]进一步地，所述方法还包括：在建立安全通道之后，利用计数器记录消息ID号，每条请求消息和对应的响应请求的ID一致；在计数器的计数值超出最大值后，计数器清零并发送通道重置请求。
[0016]进一步地，所述基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥，包括：基于所述安全通道协议向所述密码设备发送安全通道建立请求，并接收所述密码设备返回的安全通道建立响应，建立安全通道和协商会话密钥。
[0017]进一步地，所述在所述安全通道的有效期内，基于所述会话密钥和预先定义的协议消息结构对各所述密码设备对应的被管对象属性进行管理和状态监控，包括：在所述安全通道有效期内，采用交互操作类型为安全通道数据发送的消息对各所述密码设备对应的被管对象属性进行管理和状态监控。
[0018]进一步地，在所述安全通道为长连接时，在安全通道建立消息中指定安全通道有效期；在所述安全通道为短连接时，所述安全通道和所述会话密钥的有效期为当前次请求
‑
响应过程。
[0019]进一步地，在所述基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥之前，所述方法还包括：接收所述密码设备发送的注册请求及其所述密码设备签发的第一证书；验证并存储所述第一证书，返回所述密码设备的唯一性标识和密码设备管理平台签发的第二证书至所述密码设备，完成注册。
[0020]此外，本专利技术还提出了一种密码设备管理平台，所述密码设备管理平台包括：
通道建立模块，用于基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥；管理模块，用于在所述安全通道的有效期内，基于所述会话密钥和预先定义的协议消息结构对各所述密码设备对应的被管对象属性进行管理和状态监控；其中，预先定义的协议消息结构采用JSON对象封装对密码设备的管理监控配置参数。
[0021]本专利技术的优点在于：（1）本专利技术基于HTTP协议预先定义JSON/REST风格的密码设备管理协议的消息结构，该消息结构采用JSON对象封装对密码设备的管理监控配置参数，在进行远程网络密码设备管理时采用该消息结构进行信息交互，提高了密码设备管理方法的易用性和兼容性，且消息结构符合GM/T 0050
‑
2016《密码设备管理 设备管理技术规范》中定义的报文基本结构和安全属性，满足安全性要求。
[0022]本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。
附图说明
[0023]图1是本专利技术一实施例提出的一种密码设备管理方法的流程示意图；图2是本专利技术一实施例提出的一种密码设备管理平台的结构示意图；图3是本专利技术一实施例中密码设备管理平台与密码设备之间的连接示意图；图4是本专利技术一实施例中密码设备管理平台与密码设备之间的交互流程示意图。
具体实施方式
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密码设备管理方法，其特征在于，所述方法包括：基于安全通道协议和预先定义的协议消息结构，与密码设备进行信息交互，建立安全通道和协商会话密钥；在所述安全通道的有效期内，基于所述会话密钥和预先定义的协议消息结构对各所述密码设备对应的被管对象属性进行管理和状态监控；其中，预先定义的协议消息结构采用JSON对象封装对密码设备的管理监控配置参数。2.如权利要求1所述的密码设备管理方法，其特征在于，所述协议消息结构包括采用JSON对象进行描述的消息头header、消息数据部payload和消息签名部signature；所述消息头header的参数包括安全模式、消息ID号、接收方标识、发送方标识及交互操作类型。3.如权利要求2所述的密码设备管理方法，其特征在于，所述消息头header还包括协议版本号、加密算法、签名算法以及带密钥的密码杂凑算法。4.如权利要求2所述的密码设备管理方法，其特征在于，所述安全模式包括三个布尔类型参数，分别表示是否回复、是否加密及是否签名或计算杂凑值；每个布尔类型参数的参数值为TRUE或FALSE。5.如权利要求2所述的密码设备管理方法，其特征在于，所述交互操作类型包括安全通道建立请求、安全通道建立响应、安全通道数据发送及安全通道重启通知。6.如权利要求2所述的密码设备管理方法，其特征在于，所述消息数据部payload的参数包括采用加密算法时的初始化向量、管理应用类型标识、信息操作类型以及采用base64编码格式表示的密文。7.如权利要求6所述的密码设备管理方法，其特征在于，所述管理应用类型标识包括密钥管理、远程监控、参数配置、远程维护以及有效性验证。8.如权利要求5所述的密码设备管理方法，其特征在于，所述消息签名部signature包括交互操作类型为安全通道建立请求时对应的第一数字签名、交互操作类型为安全通道建立响应时对应的第二数字签名、交互操作类型为安全通道建立响应时对应的第三数字签名以及交互操作类型为安全通道数据发送时对应的第四数字签名。9.如权利要求8所述的密码设备管理方法，其特征在于，所述第一数字签名为采用所述密码设备的私钥对消息头header和消息数据部payload加密得到；所述第二数字签名和所述第三数字签名为采用密码设备管理平台的私钥对消息头header和消...

【专利技术属性】
技术研发人员：罗俊，
申请(专利权)人：中电信量子科技有限公司，
类型：发明
国别省市：