公钥密码基础设施应用技术体系 基于SM2算法的密钥服务协议标准(3)

GBXX/T ××××. ×-2008

7.2 RestoreKeyReq 密钥恢复请求

RestoreKeyReq数据定义 字段名称 retAsymAlg retSymAlg userCertNo userPubKey 数据ASN.1类型 AlgorithmIdentifier AlgorithmIdentifier CertificationSerialNumber SubjectPublicKeyInfo 含义 KM响应消息中使用的非对称算法类型 KM响应消息中使用的对称算法类型 用户加密证书序列号 用户签名公钥

CA向KM发出的密钥恢复请求消息ASN.1定义如下:

RestoreKeyReq ::= SEQUENCE{ }

retAsymAlg和retSymAlg中支持的密码算法参见7.1

retAsymAlg

AlgorithmIdentifier,

retSymAlg AlgorithmIdentifier, userCertNo CertificationSerialNumber, userPubKey

SubjectPublicKeyInfo

7.3

RevokeKeyReq 密钥撤销请求

RevokeKeyReq数据定义 字段名称 userCertNo 数据ASN.1类型 CertificateSerialNumber 含义 用户加密证书序列号 CA向KM发出的密钥撤销请求消息ASN.1定义如下:

RevokeKeyReq ::=SEQUENCE{

}

userCertNo CertificateSerialNumber

8

KM响应

KMRespond数据定义 字段名称 version kmName respondList respondTime taskTag

数据ASN.1类型 Version EntName SequeceOf Respond GeneralizedTime INTEGER 含义 版本号，默认为v2（值为1） 实体标识 响应列表，由一个或多个响应(Respond)项构成 响应时间 任务序列号，与CARequest中的taskTag一致 10

GBXX/T ××××. ×-2008

KMRespond ::= SIGNED { SEQUENCE {

version }

Version DEFAULT v2,

SEQUENCE OF Respond, RespondTime,

kmName EntName, respondList respondTime taskTag

TaskTag

其中Respond可能为四种类型，其ASN.1的定义如下：

Respond ::=CHOICE{

}

applykeyRespond restorekeyRespond revokekeyRespond errorPkgRespond

[0]RetKeyRespond, [1]RetKeyRespond, [2]RevokeKeyRespond, [3]ErrorPkgRespond

程序通过其中的TAG确认响应的类型。 8.1 ApplykeyRespond 密钥申请响应

本响应直接继承密钥返回响应：

KM向CA返回的密钥分发响应应ASN.1的定义如下：

RetKeyRespond := RetKeyRespond

其中用户加密证书序列号要与CARequest中的相应userCertNo一致

8.2

RestorekeyRespond 密钥恢复响应

本响应直接继承密钥返回响应：

KM向CA返回的密钥恢复响应ASN.1的定义如下：

RetKeyRespond := RetKeyRespond

其中用户加密证书序列号要与CARequest中的相应userCertNo一致

8.3

RevokekeyRespond 密钥撤销响应

RevokekeyRespond数据定义 字段名称 userCertNo 数据ASN.1类型 CertificateSerialNumber 含义 用户加密证书序列号

KM向CA返回的密钥撤销响应ASN.1的定义如下：

RevokeKeyRespond ::= SEQUENCE{ }

userCertNo CertificateSericalNumber

11

GBXX/T ××××. ×-2008

其中用户加密证书序列号要与CARequest中的相应userCertNo一致

8.4

ErrorPkgRespond 出错响应

ErrorPkgRespond数据定义 字段名称 数据ASN.1类型 含义 错误代号，其值应该是小于0的负整数 错误消息描述 errNo errDesc INTERGER PKIFreeText KM向CA返回的错误响应ASN.1的定义如下：

ErrorPkgRespond::= SEQUENCE{ }

errNoINTERGER errDesc

PKIFreeText

9

承载协议

CA与KM通讯采用TCP/IP协议进行通讯。KM系统接收CA系统的密钥服务请求，将处理结果返回给CA。 10 通讯安全

可在TCP/IP协议基础上进行业务通讯加密，如采用SPKM类的安全协议对CA与KM的之间的通讯进行业务加密，也可以采用通信链路安全保障的方式，如VPN等。

12