GM_T 0045-2016金融数据密码机技术规范.pdf

ICS 35.040L 80GM备案号：55613—2016中华人民共和国密码行业标准GM/T 0045-2016金融数据密码机技术规范Specifications of financial cryptographic server2016-03-28发布2016-03-28实施国家密码管理局发布 GM/T 0045—2016目次前言1范围2规范性引用文件3术语和定义4缩略语5功能要求5.1密码算法5.2密钥管理5.3随机数5.4访问控制5.5设备管理5.6设备初始化5.7设备自检硬件要求6.1物理接口6.2状态指示器6,3随机数发生器6.4环境适应性6,5可靠性安全业务要求7.1基本要求7.2数据报文接口7.3业务功能要求8安全性要求检测要求9.1功能检测·9.2性能检测·9.3环境适应性检测9.4安全检测10合格判定 GM/T 004520167安全业务要求7.1基本要求金融数据密码机通过应用编程接口对用户提供密码服务，实现密码功能。根据应用的不同，应用编程接口可划分为磁条卡应用，IC卡应用和基础密码运算服务。在业务功能中，针对密钥和PIN的计算，其算法工作模式均采用ECB模式，针对数据的计算，其算法工作模式均采用CBC模式，且首块IV为全“0。使用SM2算法的操作应遵循GM/T0009的要求，金融数据密码机的应采用模块化设计，不同功能模块不能相互影响，7.2数据报文接口7.2.1数据缩写数据标识缩写见表1。表 1数据标识标识说明可变长度域A字母数字字符，包括任何ASCII字符H十六进制字符，0~9和*A~FN十进制数字字符，*0*～*9*B二进制字等(字节），X00toX*FF7.2.2变量约定变量名约定见表2。表2变量名约定变量名含文Nh用户在加密机中设定的消息头长度IN用户在加密机中设定的消息尾长度7.2.3传输约定数值数据按从高到低的字节序传输；其他数据按从前往后、从左往右的顺序传输。7.3业务功能要求7.3.1磁条卡应用7,3.1.1产生密钥通过随机产生或分散产生的方式生成指定类型密钥分量，并将密钥分量写人IC卡或打印到密钥 GM/T 0045—2016信封，输入域长度类型备注消息头NA命令码2AX0模式-A0一产生随机密钥；“1一产生分散密钥。介质类型2A“00--没有存储介质01—写人IC卡“10.-打印密钥信封11—打印密钥信封和写入IC卡12-SM2公钥加密其他保留，用于扩展其他方式密钥类型-A1-LMK,*2*-ZMK,*3*-MAK*4—PIK,*5—TMK,“6—CVK7.-PVK,g*-WWK,“g*TGMKAZEK ....算法类型1A1′--SM4*2SM1其他保留，用于扩展其他算法类型分量个数1A标识分量序号。1～9；表示第一段～第九段；密钥长度4A“0000～0099（产生密钥长度），仅当模式=“0存在数据密1A+32HH用于分散的根密钥，仅当模式-1时存在分散次数1A1～3，仅当模式=1时存在分散数据116H分散因子1.仅当模式=*1时存在。和密钥分量个数对应.分散数据n16H分散因子N,仅当模式=“1时存在。公钥长度4A当介质类型=“12时存在公钥NB输人SM2公钥，当介质类型=12存在打印份数1A打印密钥信封时存在打印字段0NA不包含“，分隔符1A值为“；”，打印字段结束符打印字段1NA不包含“，.打印字段nNA最后一个打印字段，不包含“，消息尾NtA输出域长度类型备注消息头NhA与输人相同响应代码2A*XI*状态代码2N正常为00,其他为错误密钥1A+32HLMK加密密钥密文长度4N密文长度（当介质类型=“12*时存在） GM/T 0045—2016密文H公钥加密密文（当介质类型=“12时存在）KCV16H密钥校验值消息居NtA与输人相同导入密钥将密钥从ZMK保护转为LMK保护。输入域长度类型备注消息头NhA命令码2vA6密钥类型3H*000*—ZMK,*001*-ZPK,*002*-TPK;*002′—PVK;*002*-TMK,*003—TAK;*006*-WWK,*008-ZAK;009-BDK;00A-ZEK,402--CVK;1—SM4*+*算法类型1A2′-SM1其他保留，用于扩展其他算法类型ZMK1A+32HH用LMK(04,05)加密密钥1A+32HH用ZMK加密LMK密钥方案1A用LMK加密方式标志消息尾NtA输出域长度类型备注消息头NhA与输人相同响应代码2A“A7状态代码2N正常为00，其他为错误LMK密文1A+32HHLMK加密的密钥密文KCV16H密钥校验值消息尾NtA与输人相同导出密钥将密钥从LMK保护转为ZMK保护。输入城长度类型备注消息头NhA命令码2AA8*密钥类型H*000′ZMK,*001′-ZPK;*002*—TPK;*002—PVK