加密機使用手冊

1、SHJ0902加密機使用手冊U意&廣州江南科友科技股份有限公司2010-01unionii江南科支目錄第章支付務(wù)密碼機簡介4.1.1 密碼機的功能4.1.2 密碼機的技術(shù)特點4.1.3 密碼機的技術(shù)指標(biāo)5.1.4 密碼機的外形結(jié)構(gòu)5.第二章支付服務(wù)密碼機的使用6.2.1 密碼機的配套清單6.2.2 密碼機的安裝7.2.2.1 安裝步驟7.2.2.2 密碼機的初始化.7.2.2.3 注入密鑰7.2.3 密碼機各部分的說明8.2.3.1 IC卡插座8.2.3.2 密鑰銷毀鎖8.2.3.3 機倉后部的鎖8.2.3.4 蜂鳴器8.2.4 密碼機的接口8.2.5 注意事項9.第三章密鑰管理啞終端使用說明

2、1.03.1使用說明10第四章加密機配置1.14.1 設(shè)置加密機IP1.14.2 查看、添加和刪除客戶端IP1.14.3 設(shè)置加密常用設(shè)置124.4 查看加密機IP地址、網(wǎng)關(guān)和子網(wǎng)掩碼12unionl江南科支第五章超級管理員，管理員和維護權(quán)限1.35.1 加密機權(quán)限分類135.2 進入相應(yīng)管理權(quán)限狀態(tài)135.3 超級管理員，管理員以及維護員的權(quán)限。135.3.1 超級管理員權(quán)限135.3.2 管理員權(quán)限135.3.3 維護員管理員權(quán)限145.5制作三種權(quán)限卡1.45.5.1 IC卡的格式化145.5.2 超級管理員卡的制作154.5.3管理員權(quán)限卡的制作175.5.4維護員權(quán)限卡的制作18第六

3、章密鑰注入1.96.1 加載主密鑰1.96.2 注入功能密鑰206.2.1 產(chǎn)生隨機的功能密鑰206.2.2 產(chǎn)生密鑰命令FK02.16.2.3 明文分量類索引密鑰注入22附錄24附錄1所有終端命令功能表24附錄2LMK25附錄3密鑰類型表27第一章支付服務(wù)密碼機簡介支付服務(wù)密碼機是用于銀行卡網(wǎng)絡(luò)系統(tǒng)的支持多進程的主機節(jié)點數(shù)據(jù)密碼機，直接與主機相連接，以規(guī)定的協(xié)議通訊。此密碼機設(shè)計可靠，結(jié)構(gòu)合理，使用方便，外型美觀。1.1 密碼機的功能支付服務(wù)密碼機是金融網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分之一，主要的功能是實現(xiàn)對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行保護或鑒別，以保證金融信息的正確性，能夠有效防止對通信數(shù)據(jù)的非法竊取或

4、篡改。1.2 密碼機的技術(shù)特點?用于TCP/IP協(xié)議。?所有密鑰庫的自動維護功能，包括密鑰的產(chǎn)生、分發(fā)、注入和銷毀。支持啞終端密鑰管理方式。?密碼機具有完善的密鑰保護功能，即使掉電，也能保護好密鑰不被丟失；另外還有非法操作時的密鑰銷毀功能。?具有完善的系統(tǒng)監(jiān)測功能，可監(jiān)測密碼機硬件及軟件的運行狀態(tài)，并可對故障進行自動恢復(fù)。?可以通過軟件、硬件來設(shè)置、檢測各部分的功能，設(shè)定系統(tǒng)的運行參數(shù)，具有完善的人機交互界面1.3 密碼機的技術(shù)指標(biāo)接口方式：RJ/45及RS-232傳輸速率：10M/100M/1G自適應(yīng)工作電壓：220V25%、50HZ功耗：85W可靠性：MTBF40,000h1.4 密碼機的

5、外形結(jié)構(gòu)圖一：密碼機前視圖說明1、IC卡插座此處是管理密碼機的IC卡的插入口2、密鑰銷毀鎖緊極時可銷毀密鑰3、電源燈當(dāng)密碼機接通電源時，電源燈亮4、工作燈當(dāng)密碼機正進行加、脫密等安全處理時，加密燈亮5、報警燈當(dāng)密碼機處于非正常狀態(tài)時，報警燈亮，并伴有報警聲圖二：密碼機后視圖說明1、電源開關(guān)按鈕控制對密碼機的電2、交流電源插座3、機倉后鎖技術(shù)人員由此打開機箱維護密碼機（用戶請勿私自打開，否則可能造成嚴(yán)重后果）4、RS-232C9芯插座25、TCP/IP接口26、TCP/IP接口17、并口（接并口打印機用）8、RS-232C9芯插座1第二章支付服務(wù)密碼機的使用2.1密碼機的配套清單?密碼機一臺?使

6、用說明書一本?220狡流電源線一根?IC卡一套（6張）?串口線一根62.2.1 安裝步驟第一步密碼機通過TCP/IP接口與主機連接，即可進入生產(chǎn)環(huán)境。第二步固定好線纜的兩端，以保證其良好的接觸和安全。第三步接上220V的交流電源線，打開密碼機交流電源開關(guān)。2.2.2 密碼機的初始化在啞終端上進行如下初始化（連接方法見第3章）：為密碼機分配IP地址、網(wǎng)關(guān)及子網(wǎng)掩碼；為密碼機分配一個通信端口；為密碼機分配一個客戶；為密碼機設(shè)置PIN長度、消息頭長度、字符編碼等。2.2.3 注入密鑰密碼機在使用之前應(yīng)先注入密鑰。如果沒有注入密鑰，密碼機起動后會報警。在啞終端上進行如下操作：（方法見第3章）完成密碼機

7、三張超級權(quán)限卡的制作，再從三張超級權(quán)限卡中導(dǎo)入主密鑰三個成份，在密碼機中自動合成主密鑰。2.3.1 IC卡插座密碼機采用推推式IC卡座。將密碼機專用卡的觸片面向上、向前,按照IC卡上標(biāo)示的方向，對準(zhǔn)插座方向適當(dāng)用力推入即可操作，再輕推一下即可彈出，此時才可以拔出IC卡。2.3.2 密鑰銷毀鎖用于銷毀密鑰。銷毀密鑰時，先將密碼機電源關(guān)閉，然后密鑰銷毀鎖轉(zhuǎn)至銷毀狀態(tài)，1秒后密鑰銷毀。2.3.3 機倉后部的鎖用來固定機倉。2.3.4 蜂鳴器密碼機內(nèi)部還裝有蜂鳴器，用于異常時報警或者在有些操作過程中給予聲音提示。2.4密碼機的接口密碼機有3個接口：2個以太網(wǎng)口，1個串口密碼機必須注入密鑰才能正常工作。

8、嚴(yán)禁帶電打開密碼機的機倉和撥/插通信線纜。嚴(yán)禁強電流、高電壓對密碼機的沖擊。密碼機不能正常工作時，請?zhí)詈帽Ｐ迒?，及時與供應(yīng)商聯(lián)系，以便進行檢查、維修。若IC卡損壞，嚴(yán)禁隨便丟棄，必須交還給配發(fā)單位，由配發(fā)單位統(tǒng)一處理。第三章密鑰管理啞終端使用說明3.1使用說明打開密碼機前請用密碼機配套串口線纜連接啞終端串口和密碼機COM端口（CONSOLE口）。連接方法：用啞終端連接線纜連接PC機的串口和密碼機的COM端口。測試過程中用PC機上Windows自帶的“超級終端”軟件，模擬啞終端。在Windows桌面環(huán)境下依次點擊：開始所有程序，附件通信,超級終端,運行“超級終端”。超級終端設(shè)置：9600bps、

9、8位數(shù)據(jù)位、1位停止位、無奇偶校驗位。10unin江南科友第四章加密機配置4.1 設(shè)置加密機IP超級終端與加密機連接好，在HSM-AUTH3提示符下執(zhí)行l(wèi)ist命令，將會顯示加密機自帶的所有終端命令：aacnacyadbccardcardkeyccchcheckcheckkeyckclearallkeyclscopycpcsctcvdesecfcfkgchelphistoryipivkakbkekeykgkilistlkloloadmkloadtestkeyltkmkmkadministermksupermkworkerportprinterprtpvpwqhqprandrcrebootren

10、ewsfverwk在HSM-AUTH提示符下執(zhí)行IP命令：HSM-AUTH3ipEnterIPaddress:10.8.2.8EnterDefaultGateway:10.8.2.254EnterSubnetmask:255.255.255.0按回車鍵，加密機IP設(shè)置成功4.2 查看、添加和刪除客戶端IP在HSM-AUTH提示符下執(zhí)行ct命令:11union卷江南科支1. 192.168.1.2442. 200.200.200.244Addaclient/Deleteaclient/deleteallClientsA/D/C:選擇A、DC完成客戶端IP的添加和刪除。4.3 設(shè)置加密常用設(shè)置在H

11、SM-AUTH提示符下執(zhí)行ch命令:該命令功能設(shè)置PIN長度,消息頭長度，打印方式以及字符編碼方式。HSM-AUTH3chPinLength4-12:6MessageHeaderLength0-99:0PrinterResponse1-2:1Ascii/Ebcdic/IBM5250A/E/I:APassword/ClearP/C:P4.4 查看加密機IP地址、網(wǎng)關(guān)和子網(wǎng)掩碼在HSM-AUTH提示符下執(zhí)行qh命令：當(dāng)執(zhí)行qp后，加密機輸出如下信息：HSM-AUTH3qpIPaddress:10.8.2.8DefaultGateway:10.8.2.254Subnetmask:255.255.25

12、5.012第五章超級管理員，管理員和維護權(quán)限5.1 加密機權(quán)限分類由于加密機的終端命令涉及到加密機的密鑰以及加密機的相關(guān)配置，從安全方面考慮，加密機管理權(quán)限分3種：超級管理員，管理員以及維護權(quán)限。不同權(quán)限身份的管理人員對加密機執(zhí)行的操作不同。5.2 進入相應(yīng)管理權(quán)限狀態(tài)當(dāng)用超級終端連接加密機時，默認(rèn)的是維護管理員權(quán)限，如果要進入超級管理員和管理員全選，需要執(zhí)行終端命令a,按照提示插入IC卡，輸入IC卡口令的過程中，加密機會計算出IC中的校驗值與密碼機中存儲的校驗值做比較，然后進入相應(yīng)的管理權(quán)限狀態(tài)。5.3 超級管理員，管理員以及維護員的權(quán)限。5.3.1 超級管理員權(quán)限超級管理員擁有最高權(quán)限，能

13、執(zhí)行所有的終端命令。（終端命令功能見附錄1）5.3.2 管理員權(quán)限管理員權(quán)限能執(zhí)行加密了提供的大部分終端命令，權(quán)限如下：a,b,c,card,cc,ch,check,ckeckkey,ck,cls,ct,cv,des,ec13unionii江南科支fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port,printer,prt,pv,pw,qh,qp,rand,rc,ver,wk,history5.3.3 維護員管理員權(quán)限維護員權(quán)限很低，只能執(zhí)行僅有的幾條終端命令，權(quán)限如下：a,card,check,checkkey,des,history,qh,qp,r

14、and,rc,ver這些終端命令基本上是一些查看加密機相關(guān)設(shè)置的命令。5.5制作三種權(quán)限卡5.5.1 IC卡的格式化在制作權(quán)限卡之前，必選將IC卡格式化，格式化終端命令fc,示例如下：HSM-AUTH3fcSomethinginthecard,Continue?Y/N:YCardpin:*RetypeCardpin:*EnterdateYYMMDD:090225EntertimeHHMMSS:220000EnterIssuerID:0000EnterUserID:0000Formatsuccess!14unioni江南科支在格式化的過程中，對IC卡設(shè)置了密碼，這個密碼卡片持有人必須記住，因為在

15、后面制作權(quán)限卡的時候會要求輸入卡密碼。5.5.2 超級管理員卡的制作制作超級管理員權(quán)限卡其實也就是制作加密機主密鑰的一個過程，在執(zhí)行mksuper命令后，會要求輸入3個分量，三個分量分別存儲在三張IC里面，做好密鑰備份工作。加密機加載主密鑰執(zhí)行l(wèi)oadmk命令，加密機會提示按順序插入三張超級管理員卡，因此在制作超級管理員卡的時候必須記住IC卡的次序，且在有幾臺加密機的情況下必須標(biāo)明每套卡與加密機的對應(yīng)關(guān)系。超級管理員卡制作步驟如下所示：HSM-AUTH3mksuperRmkcomponent1:*RetypeRmkcomponent1:*Rmkcomponent2:*RetypeRmkcomp

16、onent2:*Rmkcomponent3:*15uniori江南科支RetypeRmkcomponent3:*Insertthesupercard1andpressENTER.Card1PIN:*component1checkvalue:82E13665B4624DF5Makethesupercard1success!Insertthesupercard2andpressENTER!Card2PIN:*Sorry,passworderror!remaintimeis2Insertthesupercard2andpressENTER!Card2PIN:*component2checkvalue

17、:8CA64DE9C1B123A7Makethesupercard2success!Insertthesupercard3andpressENTER!Card3PIN:*component3checkvalue:8CA64DE9C1B123A7Makethesupercard3success!16unionl江南科支4.5.3管理員權(quán)限卡的制作將格式化的IC卡插入加密機，執(zhí)行mkadminister終端命令，力密機提示輸入Cardl密碼，當(dāng)密碼輸入正確后加密返回管理權(quán)限卡的校驗值，這個校驗值將存入加密機，以后身份驗證就是跟這個校驗值有關(guān)系。管理員權(quán)限卡的制作過程如下：HSM-AUTH3mkad

18、ministerInserttheadministercard1andpressENTER!administercard1PIN:*Makeadministercard1now!Pleasewaitfor.Cardcheckvalue:F44D424C2DD75AE9Maketheadministercard1success!NewHsmPassword4:*RetypeNewHsmPassword4:*HsmPassword4SetOk!Inserttheadministercard2andpressENTER!administercard2PIN:*Makeadministercard2n

19、ow!Pleasewaitfor.Cardcheckvalue:D86F0CF403ECCDA4Maketheadministercard2success!17uni9no江南科支NewHsmPassword5:*RetypeNewHsmPassword5:*HsmPassword5SetOk!HSM-AUTH3mkwokermkwoker:commandnotfound!5.5.4維護員權(quán)限卡的制作將格式化后的IC卡插入加密機，執(zhí)行終端命令mkworker,然后按加密機提示輸入信息。制作過程如下：HSM-AUTH3mkworkerInserttheworkercardandpressENTE

20、R!workercardPIN:*Makeworkercardnow!Pleasewaitfor.Cardcheckvalue:0A410D6c7702F77AMaketheworkercardsuccess!NewHsmPassword6:*RetypeNewHsmPassword6:*HsmPassword6SetOk!18江南科友第六章密鑰注入6.1 加載主密鑰加載主密鑰后，下次重啟連接PC超級終端將是維護員權(quán)限，如果加密機是加載的測試密鑰，則再次重啟加密機連接PC超級終端將是超級管理員權(quán)限。加密機投入運行時，必須先制作超級管理員卡和裝載MK由于DES算法依靠某一個密鑰進行加密，同時所有

21、密鑰和數(shù)據(jù)都經(jīng)由MKS行加密，所以MK必須通過一種安全的方法生成和維護。主密鑰的加載方式是：在PC的超級終端執(zhí)行LOADMK令，然后按提示插入超級管理員卡和輸入密鑰（超級管理員卡的制作見4.5.2）。注意：插入超級管理員卡必須按制卡順序插入IC卡。加載主密鑰的步驟如下：先制作超級管理員卡！用卡合成主密鑰！HSM-AUTH3loadmkInsertthesupercard1andentercard1Pin:NewHsmPassword1:RetypeNewHsmPassword1:HsmPassword1SetOk!19union江南科支component1checkvalue:82E13665

22、B4624DF5Insertthesupercard2andentercard2Pin:*NewHsmPassword2:*RetypeNewHsmPassword2:*HsmPassword2SetOk!component2checkvalue:8CA64DE9C1B123A7Insertthesupercard3andentercard3Pin:*NewHsmPassword3:*RetypeNewHsmPassword3:*HsmPassword3SetOk!component3checkvalue:8CA64DE9C1B123A7RMKcheckvalue:82E13665B4624D

23、F56.2 注入功能密鑰功能密鑰的注入是通過PC超級終端執(zhí)行ec或者gc終端命令生成，key終端命令用于注入索引類功能密鑰。6.2.1 產(chǎn)生隨機的功能密鑰gc命令是隨機產(chǎn)生指定的功能密鑰,LMKg見附錄220Keylength1/2/3:2Keytype:001ClearComponent:16EC6215E6B30B892AB3AB79021937C2EncryptedComponent:A11ED73B46CCD10B54D680A726D3E779Keycheckvalue:BAD194B693384D99SHJ0902密鑰的產(chǎn)生需要用超級終端輸入指令產(chǎn)生6.2.2 產(chǎn)生密鑰命令FK。啞

24、終端命令FK,以明文或者密文方式產(chǎn)生各類(64/128/192)密鑰，LMKg見附錄2。在非變種下用明文合成ZMKHSM-AUTH3fkKeylength64/128/1921/2/3:1Keytype:000ComponentTypeClear/EncryptedC/E:CEnternumberofComponents(2-9):2Entercomponent1:*Entercomponent2:*是否變種加密Y/N:NEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A721在變種下用明文合成ZMKHSM-AUTH3fkKey

25、length64/128/192(1/2/3:1Keytype:000ComponentTypeClear/EncryptedC/E:CEnternumberofComponents(2-9):2Entercomponent1:*ErrorInput,Thedataisshortorlong!Entercomponent1:*Entercomponent2:*是否變種加密Y/N:YEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A76.2.3 明文分量類索引密鑰注入啞終端命令key,注入密鑰后將對密鑰進行奇偶校驗處理HSM-AU

26、TH3keyKeylength64/1281/2:2Keyindex:099EnternumberofComponents(2-9):222ErrorInput,Thedataisshortorlong!Entercomponentl:*Reentercomponent1:*Entercomponent2:*Reentercomponent2:*Keycheckvalue:82E13665B4624DF523附錄附錄1所有終端命令功能表終端命令功能a進入身份驗證b用ZMK密文產(chǎn)生ZPK在LMK和ZMK下力口密的密文和校驗值c進入維護管理員身份card查看卡片校驗值ec輸入密鑰明文經(jīng)加密機加密后

27、輸出密文和校驗值（輸入密鑰類型和明文的時候是/、可見的）kg輸入ZMK密文，產(chǎn)生各類型密鑰并在LMK和ZMK下加密fk以明文或者密文方式產(chǎn)生各類（64/128/192）密鑰gc隨機數(shù)生成各種密鑰，并輸入密鑰明文和密文以及校驗值rand產(chǎn)生隨機密鑰并輸出校驗值Ka隨機產(chǎn)生PVK和CVK的A,B兩部分在LMK下加密的密文和校驗值kb將pvk和cvk的A,B兩部分從LMK加密轉(zhuǎn)換到ZMK下加密，并輸出校驗值ivpvk和cvk的A,B兩部分從ZMK加密轉(zhuǎn)換到LMK下加密，輸出密文和校驗值ck計算密鑰校驗值pv產(chǎn)生pvvke將密鑰從LMK加密轉(zhuǎn)到ZMK加密ki將密鑰從ZMK下加密轉(zhuǎn)到LMK下加密key以分量方式產(chǎn)生（64或128）索引下的密鑰（奇校驗處理）scb2key以分量方式產(chǎn)生（64或128）索引下的密鑰（無奇校驗處理）24lk=loadmk加載主密鑰ltk=loadtestkey加載測試密鑰MK輸入主密鑰并導(dǎo)入IC卡pw更改HSM和IC的pinrc輸入密碼是不顯示輸入域，查看卡片信息wk制作維護權(quán)限卡fc格式化IC卡（在做身份認(rèn)證卡前必須先格式化IC卡）ad制作管理員權(quán)限卡qh查看力密機的常用設(shè)置qp查看加密機IP和網(wǎng)關(guān)以及子網(wǎng)掩碼ver查看加密機版本信息reboot重啟