ICS35.040L80中華人民共和國密碼行業標準密碼設備管理對稱密鑰管理技術規范C—2016-12-23發布2016-12-23實施國家密碼管理局發布ⅠGM／T0051—2016前言 引言 2規范性引用文件 3術語和定義 4縮略語 5對稱密鑰管理安全要求 5.1系統安全要求 5.2功能安全要求 6對稱密鑰管理系統 6.1在密碼基礎設施技術框架中的位置 6.3系統技術框架 6.4系統功能結構 6.6系統設計要求 7對稱密鑰管理應用指令及管理接口 附錄A（規范性附錄）錯誤碼定義 附錄B（規范性附錄）密鑰格式配置文件 ⅢGM／T0051—2016本標準按照GB/T1.1—2009給出的規則起草。GM/T0051《密碼設備管理對稱密鑰管理技術規范》是密碼設備管理類標準之一。該類標準由一個基礎規范和系列管理應用規范組成，目前包括：—基礎規范：GM/T0050密碼設備管理設備管理技術規范；—管理應用規范：GM/T密碼設備管理對稱密鑰管理技術規范；—管理應用規范：GM/T密碼設備管理VPN設備監察管理規范；—管理應用規范：GM/T密碼設備管理遠程監控與合規性檢驗接口數據規范。本標準凡涉及密碼算法相關內容，按國家有關法規實施。本標準由密碼行業標準化技術委員會提出并歸口。本標準起草單位：興唐通信科技有限公司、無錫江南信息安全工程技術中心、成都衛士通信息產業股份有限公司、山東得安計算機技術有限公司、上海格爾軟件股份有限公司、北京海泰方圓科技有限公司。ⅣGM／T0051—2016引言本標準依據GM/T0050《密碼設備管理設備管理技術規范》中密碼設備管理平臺架構，提出針對上層對稱密鑰管理應用的技術標準，為符合GM/T0050的商用密碼設備提供統一分發對稱密鑰的密鑰管理系統技術要求。本標準采用的密鑰管理安全通道，依據GM/T0050中的管理應用接口建立，相關內容請參考GM/T0050。1GM／T0051—2016密碼設備管理對稱密鑰管理技術規范本標準規定了對稱密鑰管理應用的密鑰及系統相關安全技術要求，包括對稱密鑰管理安全要求、系統體系結構及功能要求、密鑰管理安全協議及接口設計要求、管理中心建設、運行及管理要求等。本標準適用于對稱密鑰管理系統的研制、建設、運行及管理。本標準采用《密碼設備管理設備管理技術規范》中的安全通道技術，應使用《密碼設備管理設備管理技術規范》中第6章和第9章的接口。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32915信息安全要求二元序列隨機性檢測方法GM/T0006密碼應用標識規范GM/T0015基于SM2密碼算法的數字證書格式規范GM/T0050—2016密碼設備管理設備管理技術規范3術語和定義下列術語和定義適用于本文件。3.1對稱密鑰管理系統為密碼應用系統產生和分發對稱密鑰的管理系統。3.2密碼設備為密鑰等秘密信息提供安全存儲，并基于這些秘密信息提供密碼安全服務的設備。3.3被管設備接受、解析和處理密鑰管理系統指令的密碼設備。3.4業務密鑰密碼應用系統中與具體應用相關的密鑰。3.5被管系統接受密鑰管理系統管理的密碼應用系統，根據密鑰管理策略，接收本系統相關的業務密鑰。2GM／T0051—20163.6安全通道密鑰管理中心與被管設備間通過數據交互安全協議所建立的邏輯通道，為密鑰管理應用提供管理報文的機密性和完整性保護。3.7密碼設備管理平臺為密鑰管理應用提供與被管對象建立遠程安全通道的管理系統。符合GM/T0050,為密鑰管理系統提供平臺支撐。3.8密碼設備管理應用程序接口由GM/T0050定義，為上層應用提供安全通道及密碼設備管理接口服務。3.9分發保護密鑰安全通道中保護一次密鑰分發數據的臨時性密鑰。分發保護密鑰協商密鑰管理中心與被管設備通過安全通道協商分發保護密鑰的過程。原子密鑰被管密碼設備自定義的私有格式封裝的密鑰。專用密鑰生成裝置為特定密碼應用系統、特定型號被管設備產生私有格式封裝的原子密鑰的硬件裝置。通用密鑰生成裝置為不同被管設備產生標準格式封裝的原子密鑰的硬件裝置。密鑰格式配置文件專用密鑰生成裝置和通用密鑰生成裝置產生原子密鑰的配置文件。4縮略語下列縮略語適用于本文件。應用程序接口(數字證書認證中心(5對稱密鑰管理安全要求—密碼設備應經過國家密碼管理主管部門認證；—操作人員應經過身份鑒別，按照所授權限訪問密鑰管理系統；—密鑰管理操作應根據密鑰管理策略執行；—密鑰分發協議應保證所分發密鑰的機密性和完整性；3GM／T0051—2016—密鑰的封裝和導入應與分發方式無關；—密鑰管理操作應進行安全審計；—密鑰管理系統應保證密鑰存儲及備份安全。5.2功能安全要求密鑰和密鑰分量應使用經過國家密碼管理主管部門檢測的物理噪聲源產生，符合GM/T0050的要求。5.2.2密鑰存儲和備份密鑰存儲應確保機密性和完整性，防止未授權密鑰的泄露和替換。針對不同的密鑰形態，具體存儲要求如下：—明文密鑰需長期存儲的明文密鑰，應當存儲于安全密碼設備的物理安全模塊中，當物理安全模塊失效時，其中存儲的明文密鑰立即失效?！荑€分量密鑰分量在生命周期內應隔離存儲于不同介質中，由不同的管理人員分別持有?！芪拿荑€可以存儲在密碼設備內，也可以存儲于密碼設備外。若存儲于密碼設備外，應確保經過授權才能訪問。密鑰備份也應確保機密性和完整性，具體要求與密鑰存儲一致。5.2.3密鑰分發和加載密鑰分發和加載，可以通過人工加載、移動存儲介質直接加載、專用密鑰傳遞設備加載、網絡分發的方式。具體分發要求如下：—明文密鑰當明文密鑰在兩個安全密碼設備之間傳遞時，應該采用分量傳遞、口令保護或其他方式，防止密鑰泄露、篡改和替換。—密鑰分量密鑰分量分發過程不應泄露密鑰分量的任何部分給未授權人。—密文密鑰密文密鑰可以通過網絡分發和加載。密文密鑰的分發應防止密鑰篡改和密鑰替換。—密鑰應指定屬性或控制向量，防止密鑰被非授權使用；—密鑰只能用于指定應用；—密鑰只能用于指定用途或功能；—當已知密鑰被泄露時，應停止使用；—當懷疑密鑰被泄露時，可以主動停止使用。密鑰管理系統應針對被管系統和被管設備設置密鑰更新策略。當密鑰超過使用期限、已泄露、懷疑密鑰不安全時，應能根據相應的更新策略進行更換。如果泄露4GM／T0051—2016或被懷疑的密鑰是密鑰加密密鑰或根密鑰，所有被該密鑰加密的密鑰或子密鑰都應被更換。因密鑰更換帶來的應用數據解密并再加密過程，不由密鑰管理中心負責。具體要求如下：—嚴格按照密鑰更新策略進行更新；—新密鑰不可逆向推導出舊密鑰；—不能增加其他密鑰的泄露風險。當密鑰超過使用期限，或不再使用時，根據密鑰管理策略可以被歸檔。密鑰可以采用下述形式歸檔：—以至少兩個分離的密鑰分量形式分別存儲于密碼設備；—使用密鑰加密密鑰加密歸檔密鑰；—已歸檔的密鑰只能用于證明在歸檔前進行的交易的合法性；—已歸檔的密鑰不應返回到操作使用中；—歸檔密鑰不能影響在用的密鑰的安全。根據密鑰管理策略，可以對密鑰進行銷毀，要求從各種已用的介質中銷毀待銷毀密鑰。銷毀結果要求不可逆，不可從銷毀結果中恢復原密鑰?；謴偷拿荑€不能以明文方式輸出密碼設備?？梢灾С钟脩裘荑€恢復和司法密鑰恢復。6對稱密鑰管理系統6.1在密碼基礎設施技術框架中的位置密鑰管理應用在密碼基礎設施體系結構中的位置如圖1所示。圖1密鑰管理應用與密碼基礎設施的關系5GM／T0051—2016密鑰管理應用與被管設備間的密鑰管理協議，通過GM/T0050定義的安全通道承載。密鑰管理系統調用GM/T0050—2016中9.2.1的初始化設備管理環境API接口，獲取與被管設備的安全通道句柄，調用GM/T0050—2016中9.4的安全通道數據發送接口，將密鑰管理指令封裝在安全通道消息PDU中發送至被管密碼設備。本標準規定的技術范圍與GM/T0050—2016技術范圍的關系如圖2所示，其中，密鑰管理系統中的應用層和設備層中的密鑰管理代理屬于本標準的范圍。圖2密鑰管理應用與密碼設備管理平臺的關系本標準提出統一的商用密鑰管理平臺技術要求，對支持本標準的商用密碼應用系統和各型號的商用密碼設備實現密鑰統一產生和統一分發。本標準僅管理被管系統的業務密鑰，由被管系統臨時產生的對稱密鑰（如應用的會話密鑰）不在本標準管理范圍之內。6.3系統技術框架本標準的密鑰管理總體技術框架如圖3所示。6GM／T0051—2016圖3密鑰管理總體技術框架密鑰管理技術分為生成、分發和其他管理功能幾個部分。通過設備管理平臺提供的應用API接口在設備管理平臺與被管設備代理間建立的安全通道，實現密鑰分發。密鑰生成管理中，密鑰由專用密鑰生成裝置或通用密鑰生成裝置產生，用密鑰管理中心與密鑰生成裝置間協商產生的會話密鑰加密，安全傳輸至密鑰管理中心。密鑰分發管理中，密鑰管理應用調用密碼設備平臺API與被管設備建立安全通道，根據分發策略，以密鑰管理專用指令分發標準封裝密鑰。被管密碼設備的設備管理代理從安全通道中分離密管指令，由密鑰管理功能模塊拆封、解析、接收密鑰。密碼設備管理平臺以密碼設備管理API的方式向密鑰管理等上層應用提供設備信息、安全通道、安全分發等功能。設備管理平臺相關技術標準參見GM/T0050—2016。密鑰管理系統組成框架如圖4所示。圖4密鑰管理系統組成框架7GM／T0051—2016密鑰管理系統由密鑰管理中心和被管密碼設備組成。密鑰管理中心統一產生和分發各系統、各型號被管設備的業務密鑰，實現業務密鑰的產生、分發、備份、查詢、更新、歸檔和銷毀。被管設備接收和執行標準密鑰管理命令。密鑰管理系統根據具體情況采用多級管理中心的方式。6.4系統功能結構密鑰管理系統主要由主控管理、密鑰生成／存儲管理、密鑰分發管理、備份／恢復／歸檔管理、身份認證、審計管理、密管代理、密碼處理等模塊組成。密鑰管理系統功能結構如圖5所示。圖5密鑰管理系統功能結構6.5功能描述密鑰管理系統主要功能是管理業務密鑰，同時應具備身份認證、審計管理功能，以確保管理系統的安全。管理、調度其他模塊的關鍵模塊，完成策略配置、密鑰分發、密鑰查詢等主要密管功能。密鑰生成策略的配置包括是否使用專用密鑰生成裝置、密鑰生成的數量及長度要求等，由密鑰管理系統根據密鑰管理應用需求制定。密鑰分發策略的配置包括一系列組合條件，參見6.5.4。其他策略的配置包括密鑰查詢方式、通用密鑰生成裝置封裝格式的導入等操作。當策略條件滿足時，將觸發相應的密鑰管理操作。本標準以通用密鑰生成裝置和專用密鑰生成裝置分別產生通用格式密鑰和專用格式密鑰。8GM／T0051—2016通用密鑰生成裝置生成隨機密鑰，主控管理模塊根據被管設備密鑰格式配置文件的要求將所產生的隨機密鑰封裝為原子密鑰。專用密鑰生成裝置生成有變換要求或格式復雜的專用原子密鑰。基于隨機數復雜變換的密鑰，只能通過專用密鑰生成裝置生成。密鑰生成由密鑰生成策略觸發，所生成原子密鑰經本地主密鑰加密保護和格式化封裝后，存儲于系統密鑰庫中。密鑰管理系統產生的原子密鑰均為被管系統的業務密鑰，被管系統所需一次性密鑰不由密鑰管理系統產生。應根據密鑰分發策略進行在線分發或離線分發。在線密鑰分發過程應遵循本標準制定的密鑰分發協議。離線分發支持多種分發介質，包括專用密鑰加載裝置、通用移動密鑰加載裝置等，應遵循介質的安全分發協議。密鑰封裝及導入處理與分發方式無關。6.5.5密鑰管理代理和密碼處理密鑰管理代理內嵌于被管設備中，用于接收、解析并導入所分發密鑰的模塊。被管設備的密鑰管理代理由設備廠商定制，應支持本標準規定的密鑰分發協議，支持在線接收或離線介質接收。被管設備的密碼處理單元執行密鑰管理相關的具體操作。為增強系統的容災性，密鑰管理系統應對各種形態的密鑰數據進行備份，可以采用異機備份、異地備份等。密鑰管理系統應提供用戶密鑰恢復和為司法取證服務的司法密鑰恢復。用戶密鑰恢復由被管設備所屬單位提出申請，司法密鑰恢復由司法取證部門提出申請，依據密鑰管理系統的管理要求通過審批后執行。對于過期的加密密鑰，根據使用策略，由密鑰管理系統進行歸檔保存，且應保證歸檔密鑰的機密性和完整性。密鑰管理系統的管理人員、操作人員、維護人員應通過身份鑒別才能進行相應的授權操作。身份鑒別可以根據系統的安全強度要求，使用口令、生物特征（如指紋）、數字證書等技術措施或其組合。密鑰管理系統應對各密鑰管理操作及其內容進行審計，應確保審計信息不可被修改和刪除，并在要求的期限內備份。6.6系統設計要求—密鑰管理系統遵循標準化、模塊化、松耦合設計原則；—應保障系統模塊之間連接的安全性，包括完整性、機密性、防重放、不可否認性；9GM／T0051—2016—系統在實現密鑰管理功能的同時，必須充分考慮系統本身的安全性，必須具備安全登錄、訪問控制、加密傳輸的功能；—各子系統之間的通信采用基于身份驗證機制的安全通信協議；—明文密鑰不得導出硬件密鑰設備，加密轉換必須在硬件密碼設備中完成；—密碼運算必須在硬件密碼設備中完成；—審計文件采用統一的格式傳遞和存儲；—系統可為多個被管系統提供業務密鑰服務。6.6.2密鑰管理端設計要求應滿足以下功能要求：—制定密鑰生成策略及密鑰分發策略；—協調調度各主要密管模塊；—導入適用于通用密鑰生成裝置的密鑰結構文件；—查詢密鑰狀態；—接收業務系統、被管設備的密鑰申請；—封裝原子密鑰為標準格式并存儲于密鑰庫。密鑰生成模塊應滿足以下要求：—能夠為多個被管系統提供業務密鑰；—能夠產生高質量隨機數、對稱密鑰；—密鑰生成裝置為硬件設備；—支持以密鑰載體方式將外部密鑰導入至密鑰管理系統；—必須以加密方式導出密鑰生成裝置的密鑰，明文密鑰不可出硬件設備；—密鑰庫中存儲的密鑰必須是已加密的。不同密碼體制的密鑰由相應的通用密鑰生成裝置或專用密鑰生成裝置生成，所生成密鑰為密鑰管理系統的原子密鑰。密鑰生成裝置接口參見7.3。通用密鑰生成裝置，需由密鑰管理端的主控管理模塊按照密鑰格式配置文件（參見附錄B)中的原子密鑰模板，調用通用密鑰生成裝置產生要求長度的隨機數，填充在原子密鑰模板的密鑰數據項中。原子密鑰經過密管密碼設備與密鑰生成裝置協商的臨時會話密鑰加密后導入密管密碼機。臨時會話密鑰的協商采用GM/T0050—2016附錄B規定的身份驗證和密鑰協商協議。被臨時密鑰加密的原子密鑰在密鑰管理系統中轉換為用本地存儲密鑰加密，7.2.2標準格式對原子密鑰密文進行封裝，最后存儲于密鑰管理中心的密鑰庫中。密鑰分發時，密鑰管理中心與被管設備在安全通道中以本標準定義的專用協議協商分發保護密鑰（參見第7章并將密鑰庫中由本地存儲密鑰加密的待分發密鑰封裝轉換為由分發保護密鑰加密的密鑰封裝。密鑰加密轉換只能在密碼設備內進行，要求明文密鑰不可導出密碼設備。密鑰生成裝置的密鑰生成接口、分發保護密鑰協商接口參見7.2和7.3。應滿足以下要求：GM／T0051—2016—能夠將密鑰生成裝置生成的個性化密鑰，封裝為密鑰管理系統標準格式；—密鑰封裝的過程不應暴露明文密鑰。密鑰封裝標準數據結構參見7.2.2。應滿足以下功能要求：—密鑰分發策略管理管理可組合密鑰分發條件的策略簇，包括：●分發時間；●密碼產生裝置編號；●密鑰類型；●密鑰數量；●被管設備型號或名稱；●被管設備唯一編號；●被管設備IP地址；●密管設備所屬管理系統；●密管設備使用單位；●分發未成功時的處理策略等其他策略。—滿足密鑰分發的安全性要求，包括：●密鑰管理指令的完整性；●敏感數據（密鑰等）的機密性和完整性。—支持本標準定義的標準密鑰分發協議；—支持多種分發方式，包括在線分發和將業務密鑰導出至智能卡、智能密碼鑰匙等載體離線分發；—密鑰分發格式對于離線、在線分發方式應保持一致；—支持密鑰更新策略，滿足密鑰的更新需求，包括：●根據密鑰屬性劃分的生命周期更新策略。密鑰屬性包括密鑰類型、密鑰所屬系統、密鑰所●根據密鑰泄露或威脅等級提高時的特殊情況制定的應急更新策略。本標準利用設備管理平臺的安全通道技術實現密鑰安全分發。設備管理平臺與被管設備以設備管理協議建立安全通道，密鑰管理應用與被管設備通過安全通道協商本次分發的會話密鑰。密鑰管理應用從數據庫中取出被主密鑰加密的待分發密鑰，調用密管密碼設備將主密鑰加密的原子密鑰轉換為本次會話密鑰加密，再將標準封裝密鑰通過安全通道二次保護分發給被管設備。分發保護密鑰協商過程參見7.2.4。6.6.2.5密鑰庫存儲管理模塊密鑰庫管理模塊負責密鑰的存儲管理，按照其存儲的密鑰的狀態，密鑰庫分為在用庫和歷史庫。在用庫存放當前使用的密鑰，歷史庫存儲過期和撤消密鑰。密鑰庫存儲管理模塊應滿足以下要求：—密鑰庫中的密鑰必須加密存放；—密鑰封裝為標準封裝，在用庫記錄應包含產生時間、有效期等標志，歷史庫記錄應包含作廢時間等標志；GM／T0051—2016—支持查詢密鑰功能；—能夠對在用密鑰庫中的密鑰進行定期檢查，將超過有效期的或被撤銷的密鑰轉移到歷史密鑰庫；—對歷史密鑰庫中的密鑰進行處理，將超過規定保留期的密鑰轉移到規定載體。應滿足以下功能要求：—密碼算法必須在硬件密碼設備中運行；—配置國家密碼管理主管部門批準的對稱算法、非對稱算法、數據摘要算法；—提供隨機數生產、對稱密碼算法數據加解密運算、非對稱密碼算法數據加解密運算、數字簽名和簽名驗證運算、密鑰協商運算、數據摘要運算、密鑰安全導入導出等密碼服務。應滿足以下功能要求：—接收與審查用戶的恢復密鑰申請，依據安全策略進行處理；—接收與審查司法取證部門的恢復密鑰申請，依據安全策略進行處理?？蛇x安全策略：●用戶密鑰恢復由被管系統所屬單位向密鑰管理系統提出業務密鑰恢復請求。通過密鑰管理系統審查后，將所需密鑰從在用密鑰庫中取出，以在線或離線密鑰分發方式、標準密鑰分發流程向被管設備恢復業務密鑰?！袼痉荑€恢復允許進行司法恢復的取證部門，應設置司法恢復專職人員進行司法操作。專職人員需持取證部門的書面申請、介紹信等材料，通過密鑰管理系統書面審查后，在密鑰管理中心進行注冊，根據密鑰管理系統身份認證的技術要求為其注冊證書、指紋或口令等，作為密鑰管理中心的工作角色進行管理。司法密鑰恢復時，應由注冊過的司法恢復專職人員與密鑰管理中心具備相應權限的操作人員共同操作。司法恢復專職人員應提供其基于證書的密鑰載體（如USBKEY),密鑰管理系統根據要求從密鑰庫中取出指定業務密鑰，在密鑰管理中心密碼設備中解密，同時使用司法恢復專職人員的公鑰，為指定業務密鑰作數字信封，將數字信封加載至司法恢復專職人員的密鑰載體中。整個密鑰恢復過程，明文密鑰不出密碼機，最后以數字信封加密導出至密鑰載體，由司法恢復專職人員帶回相應單位。應滿足以下功能要求：—對密鑰生成、密鑰存儲、密鑰分發、主控管理模塊、身份認證、密碼服務等模塊進行事件審計、統計和分析；—記錄用戶主動運行事件，包括用戶名稱、內容、時間、結果等；—記錄模塊中間運行事件，包括觸發事件名稱、內容、時間、結果等；—記錄服務器狀態；—記錄系統策略設置；—審計記錄不能進行修改；—審計記錄支持導出備份；—必須保障審計記錄的完整性。6.6.3傳輸通道設計要求遵循GM/T0050—2016的要求。GM／T0051—20166.6.4被管設備端的設計要求內嵌密鑰管理代理軟件模塊，應滿足以下功能要求：—以代理軟件的方式駐留于被管密碼設備；—與設備管理結合，根據密鑰狀態支持密鑰申請主動上報；—支持標準密鑰管理協議的接收、解析、處理，將標準封裝的密鑰解析為密碼設備專用原子密鑰，執行對應密鑰管理操作；—對于已有密碼設備，支持專用密鑰管理協議的轉換和適配，將標準密鑰管理指令轉換為原有密鑰管理代理可識別的操作指令并執行；—能夠識別在線管理和離線管理兩種模式，支持密碼設備要求的物理導入接口，如以太網、通用密鑰加載設備等。設備管理代理中應內嵌密鑰管理代理功能。利用設備管理系統建立的安全通道傳輸密鑰管理指令，同時保障密鑰管理指令的安全性和密鑰數據的安全性。密鑰管理指令參見7.2。設備管理代理接收到密鑰管理指令后，將密鑰管理指令轉交密鑰管理代理模塊進行處理，解析并執行具體的密鑰操作。本標準密鑰管理系統建立在GM/T0050—2016的設備管理平臺之上，密鑰管理中心及被管設備遵循密碼設備管理平臺的證書分發流程，具體流程參考GM/T0050—20165.8“注冊流程”。7對稱密鑰管理應用指令及管理接口指令中加密算法采用國家密碼管理主管部門規定的算法，如SM4等對稱密鑰算法，CBC模式，初始IV為全零。待加密數據必須填充，填充方法為：第一個字節為0x80,其后為若干0x00,填充到分組長度整數倍。指令采用網絡字節序傳輸。7.2應用指令密鑰管理指令是設備管理指令的載荷數據，密鑰管理指令應符合設備管理指令的要求。密鑰管理指令由密鑰管理應用產生，作為設備管理平臺指令的消息PDU,填充在設備管理平臺指令中發送，如圖6所示（參見GM/T0050—2016)。圖6密鑰管理指令在設備管理安全通道消息中的位置和格式本標準定義密鑰管理應用的標識為：0xC0。GM／T0051—2016密鑰管理指令處理流程如圖7所示。圖7密鑰管理指令流程—密鑰管理應用根據管理應形成具體的密管指令，其中密鑰使用標準封裝結構；函數將密鑰管理指令賦值在sendData字段，自動被填充在設備管理平臺指令的消息PDU中并通過安全通道發送；—設備管理代理解析操作包類型為0xC0時，將數據包轉交給密鑰管理代理解析處理。7.2.2密鑰標準封裝被管設備原子使用標準封裝結構進行存儲和分發。密鑰封裝格式見表1。表1標準密鑰封裝格式序號參數內容名稱類型長度（字節）說明1密鑰唯一標識KeyIDSGD_UINT328唯一標識，參見圖82密鑰類型KeyTypeSGD_UINT324所產生的密鑰種類，密鑰標識OID遵循GM/T00063密鑰長度SGD_UINT324加密后的原子密鑰長度4原子密鑰SGD_UCHAR主密鑰加密，分發時由分發保護密鑰加密5校驗算法標識SGD_UINT324對原子密鑰進行正確性校驗的算法，采用SM3。算法OID遵循GM/T00066校驗值長度SGD_UINT8原子密鑰校驗值的長度7校驗值SGD_UCHAR解密原子密鑰時的校驗碼8適配系統標識KeySysIDSGD_UINT324密鑰所屬應用系統標識9適配設備標識KeyDeviceIDSGD_UINT324碼設備標識GM／T0051—2016圖8密鑰唯一標識結構密鑰管理指令PDU格式如圖9所示。圖9密鑰管理指令PDU—應用標志密鑰管理指令的標志：0xC0。指設備管理指令載荷為密鑰管理指令?！姹咎栔该芄軈f議的版本號?！噶畲a密鑰管理指令分為上級下發指令、下級上報指令。不同指令以命令代碼來區分。參見7.2.3.2。—參數總長命令參數總字節長?！噶顓滇槍Σ煌拿荑€管理命令代碼，封裝具體的參數。表2密鑰管理指令代碼命令類型命令代碼代碼含義上級下發指令及其響應0xB0分發保護密鑰協商請求0xB1分發保護密鑰協商響應0xB2密鑰分發請求0xB3密鑰分發響應0xB4密鑰銷毀請求0xB5密鑰銷毀響應0xB6密鑰啟用請求0xB7密鑰啟用響應下級上報指令及其響應0xB8密鑰申請請求0xB9密鑰申請響應其他可擴展命令，如密鑰查詢等GM／T0051—20167.2.4分發保護密鑰協商指令密鑰在分發前，由密鑰遵循管理中心與被管設備協商的分發保護密鑰加密保護（見圖10),再通過安全通道分發。—保護密鑰協商請求指令PDU圖10分發保護密鑰協商請求其中：算法標識：為分發保護密鑰加密待分發密鑰的算法。符合GM/T0006中的算法標識要求。E(PubKey,RandKey)：為被管設備加密公鑰加密的分發保護密鑰?！Ｗo密鑰協商響應PDU（見圖11)圖11分發保護密鑰協商響應結果：為0則分發成功，否則為錯誤碼。用于密鑰管理中心向被管設備分發密鑰?！荑€分發請求PDU（見圖12)密鑰管理中心每次可以為一個被管設備分發多個密鑰。每個密鑰分發結構采用標準密鑰封裝，參見7.2.2,其中的AtomKeySet用密鑰管理中心與被管設備之間共享的分發保護密鑰加密保護。圖12密鑰分發請求—密鑰分發響應PDU（見圖13)圖13密鑰分發響應GM／T0051—2016其中：分發結果：結果為0,則密鑰全部分發成功。結果大于零且小于KMR_BASE（參見附錄A)為成功分發密鑰個數，結果大于KMR_BASE為全部分發失敗的錯誤碼。成功分發密鑰ID：僅用于結果大于零。表示已成功分發密鑰的唯一編號。未列出編號為未成功分發密鑰。用于銷毀被管密碼設備中所有密鑰?！荑€銷毀請求PDU（見圖14)圖14密鑰銷毀請求—密鑰銷毀響應PDU（見圖15)圖15密鑰銷毀響應其中：結果：結果為0則銷毀成功。當結果小于零為銷毀失敗錯誤碼。用于啟用被管設備中的全部密鑰或某些密鑰。—密鑰啟用指令請求PDU（見圖16)圖16密鑰啟用請求其中：啟用標志：0代表全部啟用，全部啟用時指令參數為空。1代表部分啟用，部分啟用時指令參數包括密鑰唯一編號。密鑰編號：代表需啟用密鑰的唯一標識。密鑰個數為（參數總長-1)/4?！荑€啟用指令響應PDU（見圖17)GM／T0051—2016圖17密鑰啟用響應其中：結果：為0則密鑰全部啟用成功。大于零則表示成功啟用個數。密鑰編號：僅用于結果大于零時，表示成功啟用密鑰的唯一編號。用于被管設備向密鑰管理中心申請更新密鑰?！荑€申請指令請求PDU（見圖18)圖18密鑰申請請求其中：密鑰類型：所請求產生和分發的密鑰種類，遵循GM/T0006密鑰標識OID要求。對稱密鑰長度最低不小于128BITS。密鑰個數：所需密鑰的個數，N≤16?！荑€申請指令響應PDU（見圖19)圖19密鑰申請響應其中：結果：為0則密鑰申請成功，非零代表錯誤碼。密鑰N標準封裝：每個密鑰分發結構采用標準密鑰封裝，參見7.2.2,其中的AtomKeySet用密鑰管理中心與被管設備之間共享的分發保護密鑰加密保護。本標準定義密鑰生成裝置、被管設備密鑰管理代理、密鑰管理應用的標準接口，被管對象與管理代理之間的接口由其他標準規定。GM／T0051—20167.3.1密鑰生成裝置接口SGDCHARSourceID[32],SGDCHARDestID[32],SGDUINT32ParaDataLen,,,描述：用于密鑰生成裝置產生被管設備所需原子密鑰，與密鑰管理中心協商會話密鑰，用會話密鑰加密原子密鑰。參數：SourceID[32][in]發送方（密管密碼機）的設備唯一標識DestID[32][in]接收方（密鑰生成裝置）的設備唯一標識密鑰生成參數長度密鑰生成參數密鑰生成的會話密鑰長度SessionAlg[in]密鑰生成的會話密鑰加密算法標識，參見GM/T0006簽名算法標識參見簽名長度對的簽名原子密鑰的長度AtomKey[out]用密鑰生成會話密鑰加密的原子密鑰加密的密鑰生成會話密鑰長度CipheredSkey[out]用發送方（密管密碼機）公鑰加密的密鑰生成會話密鑰對的簽名返回值：0成功非0失敗，返回錯誤代碼流程：1)密鑰管理中心根據被管密碼設備的需求形成密鑰生成參數，并用本地密碼機私鑰對以下請求數據進行簽名：參數指定的簽名算法應與證書算法相同；2)密鑰管理中心調用本接口向指定密鑰裝置請求密鑰；3)密鑰生成裝置用密管密碼機公鑰證書對請求數據的簽名進行驗證，并比對所請求DestID是否為本地唯一標識。證書格式符合GM/T0015要求；4)請求驗證和比對通過后，密鑰生成裝置根據專用參數生成所需原子密鑰；GM／T0051—20165)密鑰生成裝置產生要求長度的會話密鑰，用要求的算法對所產生的原子密鑰進行加密；6)密鑰生成裝置使用本地密碼機私鑰對以下響應數據進行簽名：SourceID//Des-簽名算法與證書算法一致；7)密鑰管理中心對響應數據簽名進行驗證并比對SourceID是否為本地唯一標識；8)密鑰管理中心用本地密碼機私鑰解密會話密鑰，并用會話密鑰解密原子密鑰；9)密鑰中心用本地密碼機主密鑰加密原子密鑰存儲在密鑰數據庫中。7.3.2密鑰管理指令發送接口指用于發送密鑰管理指令的設備管理應用API接口。應調用中的函數字段。7.