如何在HSM上生成对称密钥 - 密钥管理服务

本文介绍如何使用genSymKey生成对称密钥。

功能说明

genSymKey命令可在HSM上生成对称密钥。如果命令成功后返回HSM分配给密钥的密钥句柄，您可以使用该密钥句柄作为密钥的标识。

重要

在运行此命令之前，必须启动key_mgmt_tool并以CU身份登录HSM。

语法

请按照下方语法输入参数，参数说明请参见参数。

genSymKey -t <key-type>
          -s <key-size> 
          -l <label> 
          [-id <key-ID>] 
          [-min_srv <minimum-number-of-servers>] 
          [-m_value <0..8>]
          [-nex] 
          [-sess] 
          [-timeout <number-of-seconds> ]
          [-u <user-ids>] 
          [-attest]

重要

您必须按语法指定的顺序输入参数。

示例

本文以生成32bit，密钥标签为aes256的AES密钥为例。

Command:  genSymKey -t 31 -s 32 -l aes256

       	Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

       	Symmetric Key Created.  Key Handle: 16

       	Cluster Status:
       	Node id 0 status: 0x00000000 : HSM Return: SUCCESSSUCCESS

参数

参数名称	描述	是否必需	有效值
-t	指定对称密钥的类型。	是	16：GENERIC_SECRET。通用机密密钥是一个字节数组，不符合任何特定标准。 18：RC4。RC4 密钥在 FIPS 模式的 HSM 上无效 21：三重 DES (3DES)。 31：AES
-s	指定密钥大小（bit）。	是	AES：16 (128bit)、24 (192bit)、32 (256bit) 3DES：24 (192bit）通用密钥：<3584（28672bit）
-l	指定密钥标签	是	无特殊要求
-id	指定生成密钥的ID。	否	无特殊要求
-sess	指定密钥作为当前会话密钥	否	无特殊要求
-nex	将密钥设置成不可导出	否	无特殊要求
-u	指定共享密钥的用户ID，如有多个用户请使用逗号分隔。	否	无特殊要求
-m_value	指定可使用生成密钥的用户数量。	否	无特殊要求
-attest	对固件响应进行完整性检查。	否	无特殊要求
-min_srv	指定分配的时间（参见timeout）之内，密钥最少需要的同步的服务器数量。如果密钥在分配的时间内未同步到指定数量的服务器，则不会创建它。	否	无特殊要求
-timeout	指定密钥同步到指定数量（参见min_srv）的服务器所需时间（以秒为单位）。仅当min_srv参数也用于此命令时，该参数才有效。默认：没有超时该命令无限期等待，仅当密钥同步至最少数量的服务器时才返回。	否	无特殊要求