7.1 載體密鑰管理

7.1 載體密鑰管理

7.1.1　密鑰類型

密鑰類型安全技術要求如下：
a) 應支持應用管理密鑰；
b) 應支持公民網絡電子身份標識非對稱密鑰對；

7.1.2　密鑰屬性

密鑰屬性安全技術要求如下：
a) 應具有密鑰索引號，長度為1個字節；
b) 應具有密鑰類型，長度為1個字節；
c) 應具有密鑰版本，長度為1個字節；
d) 應具有算法標識，長度為1個字節；
e) 應具有使用權限，長度為1個字節；
f) 應具有后續狀態，長度為1個字節，通過此密鑰驗證后，載體上的安全狀態，只對PIN密鑰和外部認證密鑰有效；
g) 應具有最大重試次數，長度為4個比特，密鑰的最大重試次數，只對應用管理密鑰有效；
h) 應具有當前剩余重試次數，長度為4個比特，密鑰當前剩余重試次數，只對應用管理密鑰有效；
i) 應具有修改權限，長度為1個字節；

7.1.3　密鑰生成

密鑰生成安全技術要求如下：
a) 應用管理密鑰應在專用密碼設備中產生；
b) 公民網絡電子身份標識的非對稱密鑰對生成應符合GB/T AAAA-201X，5.2中的規定；

7.1.4　密鑰導入

密鑰導入安全技術要求如下：
a) 應用管理密鑰應采用密文傳輸密鑰數據，且附加消息鑒別碼，主安全域的主控密鑰應可以控制導入應用的密鑰；

7.1.5　密鑰導出

密鑰導出安全技術要求如下：
a) 應用管理密鑰和公民網絡電子身份標識的私鑰不得導出載體；

7.1.6　密鑰存儲

密鑰存儲安全技術要求如下：
a) 應用管理密鑰、公民網絡電子身份標識的私鑰應持久保存在載體內的密鑰文件中；
b) 密鑰文件中應支持保存多條相同密鑰類型的密鑰記錄，根據密鑰索引號加以區分；

7.1.7　密鑰使用

密鑰使用安全技術要求如下：
a) 使用密鑰的用戶應具有密鑰的使用權限。
b) 應根據密鑰類型和密鑰索引進行檢索，每種類型的密鑰只能用于特定功能，如外部認證或線路 保護；
c) 公民網絡電子身份標識的私鑰不得讀取；

7.1.8　密鑰更換

密鑰更換安全技術要求如下：
a) 密鑰的更換應通過修改密鑰文件相應內容來完成；
b) 密鑰文件修改應具有相應修改權限；

7.1.9　密鑰銷毀

密鑰銷毀安全技術要求如下：
a) 密鑰銷毀應通過刪除密鑰文件相應內容來完成；
b) 密鑰文件內容刪除應具備相應刪除操作權限；