GM_T 0052-2016密码设备管理 VPN设备监察管理规范.pdf

ICS 35.040L. 80GM备案号：58557—2017中华人民共和国密码行业标准GM/T码设备管理VPN设备监察管理规范Cryptographic equipment management-Monitoring management specification of VPN equipment2016-12-23发布2016-12-23实施国家密码管理局发布 GM/T 0052—2016目次前言引言1范围2规范性引用文件3术语和定义4缩略语5VPN设备的监察管理体系...5.1体系结构5.2功能要求5.3管理应用层5.4管理平台层5.5VPN设备的监察设备层5.6安全通信5.7VPN设备的监察管理流程.VPN设备的监察数据采集规则..6.1过滤规则6.2基于IPSecVPN协议的检测规则6.3基于SSLVPN协议的检测规则VPN设备的监察管理消息定义.7.1概述7.2VPN设备的监察设备配置消息7.3过融规则消息7.4VPN设备的监察设备售警消息附录A（资料性附录）消息的XMI.定义举例A.1VPN设备的监察设备配置消息的XML定义A.2VPN设备的监察设备过滤规则消息的XML定义A.3VPN设备的监察设备告警消息的XML定义12参考文献 GM/T 0052—20166.3基于SSLVPN协放的检测规则对SSLVPN的监察管理包括对设备的监察和对设备所用算法的监察，其体步骤为：a)提取密码算法属性值，包括对称算法属性值、非对称算决属性值、杂决算法属性值。若提取不到，则转到d)，h)将提取的算法属性值，对照GM/TUU24一2014中规定的密码算法套件；c)若提取的算法属性值符合规范中定义的，则SSLVPN合规；否则，继续下-步；(PVPN监察设备将采集到的违规”VPN信息转换成统一格式，上报管理应用层。其检测流程如图5所示，开始提取烈算法属性值共新是否可以新算法属性值量否待合SSLVPN投备合规借息转换成换一格式。上报管要应用用监案没备采集到的“提V结束图5基于SSLVPN协议的检测流程图7VPN设备的监案察管理消息定义7.1概述VPN设备的监察管理的通信过程主要是管理应用层与监察设备之闻的网络通信，所有消息部通过安全通道实行保密传输，VPN设备的监察管理消息调用GM/中 9.4.1 SMF_Sec TunnelSendData函数，管理消息指令填充在设备管理平台指令的消息PU电,管理消息赋值在sendData字段，如图6所示。11字书$384字书327节版本号安全换式保留消总日的方发送方操作类设备应用合规整名D性管理消息HMAC-消.8头合规性管理消息PDU图6监察管理消息格式其中：操作类型0xA3标识安全通道发送数据消息， GM/T 0052—2016管理应用标识0xC5指设备监察管理。本章对管理应用标识0xC5后面的管理消息PDU做出规范。消息格式采用XML定义，本标准定义了最基本的数据结构，可在此基确上按实际需要拓展，所有消息的量高层类是agent，每一种类型的消息都是该类的子类，agent中定义了VPN设备的监察设备的唯一ID标识、IP地址及其他措述信息，由管理应用层给监察设备分配ID，作为监察设备换人网络的授权标识之一，管理应用层收到VPN设备的监察设备消息，需要鉴别消息格式，根据监察设备ID等条件判别其合法性，若格式有误，期拒绝处理并指示监累设备重发，VPN设备监察管理的操作类型有agent-config(VPN设备的监察设备配置清息）、agent-rule(VPN设备的监察设备规划消息)和agent-alert(VPN设备的监察设备告警)等。7.2VPN设备的监察设备配置消息VPN设备的监察设备配置消息agent-config是管理应用层向监察设备下发的配置，直接作为agent的子类，主要涉及监察管理应用层对多个监察设备的管理、配置维护、策略规则下发等，定义了上联设备（servers类）心跳同隔.信息报告时间图，时间截等子类，servers类中应包含多项server子类，通过server的元素值决定用于主用服务器还是其他用途，其消息格式定义如下：口)IIVPN设备的监察设备配置(VPN设备的监察设备名称、ID、IP、端口)II心跳间隔II采样时间)，(agentxmltype=agent-config”name=VPN设备的监察设备名称id=VPN设备的监察设备idip—VPN设备的监察设备IP)(agent-config)(update-time) YYYY-MM-DD IIII,MM,SS(/update-time)(servers)[=1070/)(/servers)(clientname-VPN设备的监察设备名称idVPN设备的监察设备id”ip—V