Passwords

标准GM/T 0030-2014中规定服务器密码机必须至少支持三层密码体系结构，包括：管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。除"管理密钥"外，其他密钥可被用户使用，提供数据加解密等服务。

服务器密码机 密钥体系结构

服务器密码机密钥体系结构：管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。

服务器密码机 接口类型

服务器密码机接口类型包括：设备管理类、密钥管理类、非对称算法运算类函数、对称算法运行类函数、杂凑运算类函数、文件类函数。

服务器密码机的 密钥管理要求

◎管理密钥的使用不对应用系统开放；

◎除公钥外，所有密钥均不能以明文形式出现在服务器密码机外；

◎服务器密码机内部存储的密钥应具备有效的防止解剖、探测和非法读取密钥保护机制；

◎服务器密码机内部存储的密钥应具备防止非法使用和导出的权限控制机制；

◎服务器密码机内部存储的密钥应具备安全销毁功能。                

服务器密码机的 接口使用

完成签名后，其他应用可以使用对应的公钥/公钥证书来验证签名的正确性。

完成数据加密后，持有外部公钥所对应私钥的用户可以打开数字信封，获得会话密钥句柄，并利用该会话密钥解密获得数据明文。

金融数据密码机采用基于"对称密码体制"的三层密钥体系结构；分别为"主密钥、次主密钥和数据密钥"三层。金融数据密码机中的密钥采用"自上而下逐层保护"的分层保护原则，即主密钥保护次主密钥，次主密钥保护数据密钥。

金融数据密码机 体系结构

金融数据密码机体系结构：主密钥、次主密钥、数据密钥。

金融数据密码机 接口

主要分为以下三类：