SJL05金融數據加密機用戶手冊2.0VIP

1、SJL0曲融數據加密機用戶手冊TheUser"SManual（請在使用產品前仔細閱讀本r冊【1.00版權所有翻印必究XX衛(wèi)士通信息產業(yè)股份XX目錄1產品概述12設備清單13產品介紹23.1 主要功能23.2 技術指標43.3 密碼體制43.4 工作方式53.5 兼容標準53.6 環(huán)境要求53.7 物理特性64設備安裝64.1 安裝條件64.2 密碼機示意圖64.3 密碼機硬件安裝方法74.4 控制臺終端管理程序安裝方法85控制臺終端操作95.1 根本信息95.1.1 版本查看95.2 參數設置105.2.1 打印端口配置105.2.2 交易端口配置115.2.3 特殊授權控制125.

2、2.4 設置通信格式135.3 網絡配置145.3.1 平安訪問設置145.3.2 設置密碼機IP地址185.3.3 設置密碼機路由225.4 密鑰管理265.4.1 密鑰注入265.4.2 本地主密鑰校驗值365.4.3 密鑰備份恢復365.5 密鑰產生385.5.1 隨鑰385.6 口令和令牌管理395.6.1 key操彳395.7 恢復出廠設置415.7.1 銷毀密鑰41附錄A密碼機提示音421產品概述SJL05金融數據加密機是由衛(wèi)士通信息產業(yè)股份研制的國第一種符合中國人民銀行金融IC卡規(guī)(PBOC)的專用于我國“金卡工程的基于主機的新型計算機網絡通信數據加密機。該產品于1997年率先通

3、過由國家密碼管理委員會組織的專家鑒定。鑒定委員會一致認為：“SJL0的融數據加密機設計合理，技術先進，適用圍廣，保護措施可靠，操作使用方便，技術資料齊備，整體技術到達國先進水平，填補了我國ATM/POS金融數據加密設備的空白，具有推廣應用價值。SJL05在設計時采用國際領先的技術，幾年來，公司根據客戶要求，不斷對產品進展完善，提供友好的用戶界面，已成為銀行聯(lián)網工程中，替代RacalAtalla等國外加密設備的首選國產品。SJL05實現了聯(lián)機交易環(huán)境中需要的所有加密、解密及其他平安功能，主要用于各地金融信息系統(tǒng)，尤其是對進展跨行交易的ATM/POS聯(lián)網信息系統(tǒng)提供數據加密與平安保護，同時廣泛用于

4、證券、商貿、郵電、稅收、保險等計算機網絡系統(tǒng)中，為計算機網絡系統(tǒng)提供平安數據的通信效勞，防止網上的各種欺詐行為發(fā)生。加密機屬于敏感的電子設備，安裝和使用SJL05前請仔細閱讀本手冊，對需要特別注意的地方，手冊中將盡量加以提醒。2設備清單請檢查包裝箱以下物品是否齊全，假設有缺件，請與我們聯(lián)系；名稱數量SJL05金融數據加密機葬直通以太網線（灰色）兩根穿插以太網線（藍色）兩根產品合格證壹裝箱清單壹電源線壹根用戶手冊壹本用戶Key陸個光盤壹注：本清單僅提供參考，具體以包裝箱中的裝箱清單為準3產品介紹3.1 主要功能SJL05fc要用于各地銀行金融信息系統(tǒng)，尤其是對進展跨行交易的ATM/POS聯(lián)網信息

5、系統(tǒng)提供數據加密與平安保護。除此之外，還可廣泛用于證券、商貿、郵電、稅收、保險等計算機網絡系統(tǒng)中，為計算機網絡系統(tǒng)提供平安數據通信效勞，防止網上的各種欺詐行為發(fā)生。SJL05在金卡網絡中的配置如以下圖所示：L_：菜芭在南h鼎tjMill.KM交舞中心IW_4h-MlC44j'll1MIMtl»Iwr/一式H1JPOSATM<£Wfl依7fpMiM一#一2zr三%piHiB"dcmATMSJL05支持如下功能:?由硬件完成數據加解密?對PIN的加/解密、驗證及轉發(fā)?消息來源正確性驗證MAC的產生、驗證及轉發(fā)?交易正確性驗證TAC的產生、驗證?PVV、C

6、VV計算和驗證等利用SJL05能有效防止通信信道上的主動攻擊行為。在金融網絡中，線路上傳輸的所有數據全是經加密機加密后的密文，明文只在加密機部出現，所有的密鑰也保存在加密機部，可有效防止外部人員的攻擊。下面以有中心模式的跨行交易中個人身份號PIN在ATM/POS網絡的傳輸為例，個人身份號PIN從收卡行到交換中心再由交換中心到發(fā)卡行受校驗流程顧客輸入 私人密鑰大致如下:PIN在ATM/POS跨行交易的流程其中:?顧客輸入私人密碼?傳送被ATM/POS加密的私人密碼?收卡行轉換私人密碼?傳送被收卡行加密的私人密碼?交換中心轉換私人密碼?傳送被交換中心轉換后的私人密碼?發(fā)卡行校驗私人密碼3.2 技術

7、指標3.3 密碼體制?完整的平安體系構造?支持DES、3DES、RSA、Double-one-way算法和經國家主管部門審定批準的SMS3-01金融專用密碼算法?CBC加密方式同時實現性與完整性?完善的密鑰管理系統(tǒng)3.4 工作方式?Ethernet:10M/100M/1000M自適應?TCP/IP3.5 兼容標準SJL05完全兼容以下標準：?ANSIX3.92數據加密算法?ANSIX9.9信息鑒別?ANSIX9.8PIN的管理與平安?ANSIX9.17密鑰管理?ANSIX9.19零售金融信息的鑒別?多種ATM機用戶密碼格式?中國人民銀行金融IC卡規(guī)PBOC規(guī)3.6環(huán)境要求?工作溫度：0c40c

8、?存貯溫度：40c55c?相對濕度：20%80%?電壓：220V10%,50Hz3%3.7物理特性?外型：臥式機箱；?體積尺寸：430mmX400mmX88mm?整機凈重：8Kg4設備安裝4.1安裝條件安裝密碼機前，請確認滿足以下條件：1 .接收設備與裝箱清單明細對應且完好無損;2 .密碼機電源開關處于斷開位置；3 .一臺安裝有WINDOWS系統(tǒng)的PC機；4 .確保輸入電源電壓穩(wěn)定在220V10%圍。4.2密碼機示意圖密碼機而9板如以下圖所而工ABCDEFG圖1前面板示意圖A:LOGOB:設備名稱C:電源指示燈D:狀態(tài)指示燈E: USB1 F: USB2G:控制口圖2后面板示意圖A:電源插座B

9、:電源開關C:電源風扇D:觸發(fā)開關E:串口打印口F:USB口G:散熱孔H:網口I:機箱鎖J:加密卡K:毀鑰孔L:接地柱4.3 密碼機硬件安裝方法1 .將密碼機放在機柜里，并固定；2 .連接通信線纜。TCP/IP通信接口：將隨機提供的網線一端與密碼機背后的ETH1連接，另一條網線與密碼機的ETH4連接。網線的另一端插入集線器/交換機或者是主機提供的以太網口。注意，如果另一端接集線器或交換機時，應使用直通網線，如果另一端接主機的以太網口，應使用交插網線。確認電源開關處于斷開狀態(tài)后，連接電源線。注意：如果電源開關處于閉合狀態(tài)，由于插入電源插頭的瞬間高壓作用，可能損壞設備或縮短使用壽命。3 .翻開電源

10、開關。此時前面板的電源狀態(tài)燈紅色，翻開觸發(fā)開關。4 .約數秒鐘后，系統(tǒng)檢測加密機狀態(tài)，并開場加載系統(tǒng)，狀態(tài)指示燈紅色。5 .系統(tǒng)加載完畢后，密碼機一聲長響，狀態(tài)指示燈橙色，此時說明系統(tǒng)已加載完畢。密碼機間隔1秒長響一聲，可插入開機key,初次啟動連接控制臺終端，根據提示插入開機KEY,插入KEY后開機認證，進入維護狀態(tài)，可以通過控制臺管理密碼機，并隨時可以選擇進入工作狀態(tài)或者直接進入工作狀態(tài)。4.4 控制臺終端管理程序安裝方法控制臺終端管理程序是應用于SJL0瞼融數據加密機的一個終端控制臺應用程序，用于對密碼機的網絡參數配置、密鑰管理以及系統(tǒng)控制信息進展交易處理前的配置和管理。該軟件需要運行在

11、win2k/xp的操作系統(tǒng)中，支持TCP/IP通信方式對密碼機進展遠程控制操作。安裝：運行安裝光盤中的“Setup.exe，安裝控制臺終端管理。運行方式：安裝控制臺終端管理的PC機連通密碼機ETH4網口，ETH4網口IP地址192.168.1.1點擊應用程序圖標"終端管理程序.exg,程序顯示以下圖所示初始化界面：IWestoneas圖3.圖4.管理終端主界面主界面中包含有七個功能標簽頁，分別為根本信息、參數設置、網絡配置、密鑰管理、密鑰產生、口令和令牌管理、恢復出廠設置。5控制臺終端操作5.1 根本信息5.1.1 版本查看在控制臺終端管理程序的主菜單中，啟動后的缺省頁面即是“版本查

12、看其中顯示了密碼機的當前版本。圖5版本查看5.2 參數設置參數設置是對打印端口和授權控制進展配置5.2.1 打印端口配置選擇打印端口的類型，如果是端口類型為串口那么還需要選擇用口號；設置是否啟動打印。對設置做出修改后點擊“確定提交設置。注意：注入銀行專有密鑰或IC卡注入密鑰時，系統(tǒng)會停頓打印效勞，操作完成后需要在此處手動啟動打印。正獲吃比邕程竽打印蠕口配置控制臺終端管理程序V1.0-干事但H位r存看- -鰥韶n印at口闋百他百避信節(jié)式.-FWiH審"外:西向五由武4W址后劫的工由3OU15dJ- 需醞¥:ZVVWA本對專密相區(qū)四主杳鑰提靖主題錫本電王也硼珀叵畜制割寸酬笈-

13、密鑰產生他機密切- 口*和外鎧看K-.幽I- 鐵歹出廠,方圖6打印端口配置5.2.2 交易端口配置在該頁面設置交易端口圖7交易端口配置5.2.3 特殊授權控制對“加密PIN、“解密PIN、”打印、”明文注入密鑰進展權限控制,勾選需要授權的選項點擊“確定提交設置"第*情昌唐本古專打F辨口茂直磔幽配置F年切都村E三詞故痛式安面3日占當d君加智且卜地止出爭JL七國快由 藝項營卻中哪Fh本地壬例 江庭主吐鐺 好找上跑鐫 般樁人里就 才1MT日前布雄ID 甑爵什卡某-它君產生地即越起W牝警壯管理g»n曾M止設出 心班唱肢注,、骷零跖圖8特殊授權控制5.2.4 設置通信格式可以對長度域

14、、消息頭長度、消息尾長度、編碼格式進展設置，設定完以后點擊“確定按鈕提交。圖9設置通信格式5.3 網絡配置網絡配置主要對密碼機的IP、平安訪問控制、路由信息進展配置5.3.1 平安訪問設置平安訪問設置功能制定針對客戶機的訪問策略。改變了規(guī)那么后點擊“確定按鈕提交設置或是點擊“重置按鈕恢復到修正之前的狀態(tài)，信息如以下圖所示。圖10平安訪問設置5.3.1.1 添加平安訪問類型點擊'V按鈕添加平安訪問類型，窗口如以下圖所示，在窗口中選擇要設置的平安訪問控制類型，可選擇對“多臺主機、“單臺主機進展設置，點擊確認后完成添加控制臺終端管理程序VLD- 妥事仁日版4灣百- 善并謖置打七由錚世7EMW

15、M樸良捏杷E制迫意理占怯式- 網微滑安全法向會宣iJighn®禮中地址班力府四山- 歌代理-衲臟人太斌主群掰;區(qū)域主密璃您瞬主它國V1注入/小£電：£窗VI恤S梢胞懵恢百三轆產生金禮相物7E、g陽笞雯一楝除-詼口出廠神胃形解宙就圖11對多臺主機增加訪問控制的IP地址控制臺終端管理程序VLOi7!君尊信息薩亨齊看蟒拈修弄打出崎口紀爸殳同球口配著用R摩枳降lil褶吉正二韓五網時玩三安親訪同表否d芍JL:售Fi$H/叁鹿型生1怙由本司管鞭本年主芍年1i歸主些電際主在與K%任人在劇辛由王尊湖式li遹可鑰尋方問史衽鑰產主倍翻史利口學出莖首登K當攜牛出呈出金跟花密河用圖12對

16、單臺主機增加訪問控制的IP地址5.3.1.2 編輯選擇列表中要編輯的項，點擊口按鈕進展編輯，窗口如以下圖所示，在源地址中輸入要訪問加密機的IP地址，在目的地址中輸入加密機IP地址控制臺終端管理程序VLO圖13編輯平安訪問IP5.3.1.3 刪除選擇列表中要刪除的規(guī)那么，點擊,按鈕刪除該規(guī)那么，窗口如以下圖所示控制臺終端管:序VL。圖14刪除平安設置記錄5.3.2設置密碼機IP地址設置密碼機ip地址。正常的規(guī)那么都標記為S,編輯過或是新參加的規(guī)那么都會標記為e,提交失敗的規(guī)那么都標記為口。改變了規(guī)那么后點擊“確定按鈕提交設置或是點擊“重置按鈕恢復到修正之前的狀態(tài)。圖15設置加密機IP地址5.3.

17、2.1添力口點擊M按鈕添加新規(guī)那么史駕世史置程序-般爸出電批甘土吐控制臺終端管理程序VLO圖16添加接口5.3.2.2編輯選擇列表中要編輯的項，點擊口按鈕進展編輯空嗎機留置程序祓/嚙物Fte址控制臺終端管理程序VLO-23歌田-學曼!這宣打L晾口工宣 穴居用口士目 摒曾曾攻再制 謗睡宦”式-同哥于與安鈔J問昌直強直毒就Mt 也斗加里加越由期寸!肯科1-1?iW.車刪主空船 叵敏主空焰扁樁£客切 才坤¥審審拘看信 個銅第份出中7藥胃產生地閩熱F口比學法若印K.jfrn住卡化廠白百+ iLi M報18菅二作可匚小t1日乙H距反20自用子冏竟寫：書.尸T由立圖17編輯接口5.3.

18、2.3 刪除選擇列表中要刪除的項，點擊 按鈕刪除該規(guī)那么雷也M配置修工也芭加蜜機：;牝上控制臺終端管理程序VL。萃M俏白 中才將看-券京誑,打工妊1_（口擊 空當洗U 口凈 附以堡程度也 及互謂信邙式-母舁玩舌安親訪向1行大造理1%址 恪當Esa-空癱A本迪主宙虻 區(qū)域主需要 碑"主碗 跖隹,花擔市施主居鋪HUE 后調留扁低卓三物0產生 網加密切-口力惠學修營到 網揄n-疽有士丁胃百歸赳R圖18刪除接口5.3.3設置密碼機路由密碼機路由功能修改密碼機的路由表。改變了規(guī)那么后點擊“確定按鈕提交設置或是點擊“重置按鈕恢復到修正之前的狀態(tài)。圖19設置加密機路由5.3.3.1添力口點擊寸按鈕

19、添加新規(guī)那么配置耀屏頑置加密機踞時控制臺終端管理程序VLO- 至FEm康中查百- 等集建豈小晾口白X文書宰口自衛(wèi)將拜翌現妥趣R置虺后格式- 兩薛無百安主訪|可曼宣國宜加乳同省由'理科巴理二站如，本上也主定虻上好主看針版主密證連槿A定擔市Hi電曲福的恢復-空塌產生應共-口事牌智號悔加-偵式匕鵬直倍盹胡圖20添加加密機路由5.3.3.2編輯選擇列表中要編輯的項，點擊一按鈕進展編輯控制臺終端管理程序VLO£476氧干臺資-四阻1即隔比追立星防J配置忖H投電莊布近走4下檢苴-ITfeMdE：宣至酉同諛鼻也直力出中JP4tl設芭m密，Li4由爭脂理H交銀莊人子懂主這卷區(qū)域主這檢片鼐主都

20、卷匕明注入里引主父下書用將近信引銅符號廿Sf-密鑰產生魂無費球熊f津福懂常出律看徜曾交鑰圖21編輯加密機路由5.3.3.3刪除選擇列表中要刪除的項，點擊按鈕刪除該規(guī)那么臺終端管理程序VLO-君尊信R埴本而-叁百£五"卻Efi-lS;若 芟月德玩舌 幃”產網左粗 設,證；箱五 -網播配立史至百問謖直 讓玄加邑E：b噸tL 世式g空LK由 雷用行注 由型弱在A本的轉弱 匡博主包假 躁瑞王空史 K的注人衽引 后前十京團竹開向 則有的廉菖.-宗羽產生 隨達宓由 ；金前仁哈坦時倬也H斯黛出廠者看 忙曾葉彷圖22刪除加密機路由5.4 密鑰管理密鑰管理主要包括“密鑰注入、“密鑰備份恢復兩

21、大功能5.4.1 密鑰注入根據用戶輸入的密鑰分量注入各種密鑰。5.4.1.1 本地主密鑰運行終端管理程序，選擇密鑰管理中的“本地主密鑰?！氨镜刂髅荑€主界面如下圖。依次輸入“密鑰分量1、“密鑰分量2、“密鑰分量3。如果同一密鑰分量的兩次輸入一致那么“CheckValue"文本框會顯示對應密鑰分量的CheckValu*且下一個步按鈕也會被激活，點擊”下一步開場下一個密鑰分量的輸入。當完成最后一個密鑰分量的輸入后點擊“確定開場注入密鑰，如果注入成功那么點擊“完成完畢該操作圖23密鑰分量1圖24密鑰分量2圖25密鑰分量3II臺終端管理程序VLQ圖26注入密鑰成功5.4.1.2 K域主密鑰運行

22、終端管理程序，選擇密鑰管理中的“區(qū)域主密鑰。"區(qū)域主密鑰主界面如下圖。選擇需要的“密鑰長度，填寫“密鑰索引，依次輸入“密鑰分量1、“密鑰分量2、“密鑰分量3。如果同一密鑰分量的兩次輸入一致那么"CheckValue文本框會顯示對應密鑰分量的CheckValue并且下一個步按鈕也會被激活，點擊”下一步開場下一個密鑰分量的輸入。當完成最后一個密鑰分量的輸入后點擊“確定開場注入密鑰，如果注入成功那么點擊“完成完畢該操作。圖27密鑰分量1圖28密鑰分量2控制臺終端管理程序VLO芯三信以 盅出臺看-參邕臺EfJJEnJKS ：爻層序歸置 持百技N技利 世亙運方柜式-網相nee三_T可

23、左 史宣空31P金比 W部U破口訕"毒濡而需祖作入 本力主變怩 區(qū)整:T去期 勢弟生息:然 匕打在入重用 蘇i三百嘛男0 個朝后廿西算-密鑰產生陋F；更用 口豐胤號5里 次售IF-舊可出廠語胃 植賓和磔i造史5軋人里鑰F超二國消圖30密鑰注入成功5.4.1.3 終端主密鑰運行終端管理程序，選擇密鑰管理中的“終端主密鑰。“終端主密鑰主界面如下圖選擇需要的“密鑰長度，填寫“密鑰索引，依次輸入“密鑰分量1、“密鑰分量2、“密鑰分量3。如果同一密鑰分量的兩次輸入一致那么“CheckValue文本框會顯示對應密鑰分量的CheckValue并且下一個步按鈕也會被激活，點擊”下一步開場下一個密鑰分

24、量的輸入。當完成最后一個密鑰分量的輸入后點擊“確定開場注入密鑰，如果注入成功那么點擊“完成完畢該操作。圖31密鑰分量1圖33密鑰分量3控制端管理程序VLO- 苓h信B項孝有者- :均小,打F珞口百常交房詡口百滑情也修中取料格通信格正- 網不工三安全詩句皆舌過麥加也m）地止K,1l電則（匕由河中營鐘中鈍干丸本博主專鑰宣晚主啄耳姓羊主去團才博T船耶品ID甑播份作笈- 竺守產生的現電鑰Uw中.芋附甘理K明探F曾復tt廠己正心理鑰。吒JiAqkTmhM.MarK-國二:6的二1”小斗口工了口護imEFFAJ-取酒圖34密鑰注入成功5.4.1.4 Key注入密鑰選擇密鑰管理中的“key注入密鑰。主界面如

25、以下圖所示。選擇需要的“密鑰類型，依次輸入“分量個數、“密鑰分量1口令c如果同一密鑰分量的兩次輸入一致那么“CheckValue,文本框會顯示對應密鑰分量的CheckValue且下一個步按鈕也會被激活，點擊”下一步開場下一個密鑰分量的輸入。當完成最后一個密鑰分量的輸入后點擊“確定開場注入密鑰，如果注入成功那么點擊“完成完畢該操作。5.4.2 本地主密鑰校驗值圖36本地主密鑰校驗值5.4.3 密鑰備份恢復備份密碼機中所有密鑰對到USB-Key中或從USB-Key中恢復密鑰到密碼機。5.4.3.1 備份密鑰選擇密鑰類型，點擊“備份密鑰選擇鈕切換到“備份密鑰功能，在“口令和“確認口令中輸入一致的密碼，把USB-Key插入到密鑰機中，點擊“備份按鈕開場備份操作?？刂婆_終端管理程序VLO-新,，有宓肘右第-希"打印缸口三空其身|口