金融数据加密机用户基础手册.doc

资源描述

SJL05金融数据加密机成都卫士通信息产业股份有限公司 1.00 目录 1 产品概述 1 2 设备清单 1 3 产品简介 2 3.1 重要功能 2 3.2 技术指标 4 3.3 密码体制 4 3.4 工作方式 4 3.5 兼容原则 4 3.6 环境规定 4 3.7 物理特性 5 4 设备安装 5 4.1 安装条件 5 4.2 密码机示意图 5 4.3 密码机硬件安装办法 6 4.4 控制台终端管理程序安装办法 7 5 控制台终端操作 8 5.1 基本信息 8 5.1.1 版本查看 8 5.2 参数设立 9 5.2.1 打印端口配备 9 5.2.2 交易端口配备 10 5.2.3 特殊授权控制 11 5.2.4 设立通信格式 12 5.3 网络配备 13 5.3.1 安全访问设立 13 5.3.2 设立密码机IP地址 17 5.3.3 设立密码机路由 20 5.4 密钥管理 23 5.4.1 密钥注入 23 5.4.2 本地主密钥校验值 32 5.4.3 密钥备份恢复 32 5.5 密钥产生 34 5.5.1 随机密钥 34 5.6 口令和令牌管理 35 5.6.1 key操作 35 5.7 恢复出厂设立 37 5.7.1 销毁密钥 37 附录A 密码机提示音 38 1 产品概述 SJL05金融数据加密机是由卫士通信息产业股份有限公司研制国内第一种符合中华人民共和国人民银行金融IC卡规范(PBOC)专用于国内“金卡工程”基于主机新型计算机网络通信数据加密机。该产品于1997年率先通过由国家密码管理委员会组织专家鉴定。鉴定委员会一致以为：“SJL05金融数据加密机设计合理，技术先进，合用范畴广，保护办法可靠，操作使用以便，技术资料齐备，整体技术达到国内先进水平，弥补了国内ATM/POS金融数据加密设备空白，具备推广应用价值”。SJL05在设计时采用国际领先技术，几年来，公司依照客户规定，不断对产品进行完善，提供和谐顾客界面，已成为银行联网工程中，代替Racal、Atalla等国外加密设备首选国内产品。 SJL05实现了联机交易环境中需要所有加密、解密及其她安全功能，重要用于各地金融信息系统，特别是对进行跨行交易ATM／POS联网信息系统提供数据加密与安全保护，同步广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上各种欺诈行为发生。加密机属于敏感电子设备，安装和使用SJL05前请仔细阅读本手册，对需要特别注意地方，手册中将尽量加以提示。 2 设备清单请检查包装箱内下列物品与否齐全，若有缺件，请与咱们联系；名称数量 SJL05金融数据加密机壹台直通以太网线(灰色) 两根交叉以太网线(蓝色) 两根产品合格证壹张装箱清单壹张电源线壹根顾客手册壹本顾客Key 陆个光盘壹张注：本清单仅提供参照，详细以包装箱中装箱清单为准。 3 产品简介 3.1 重要功能 SJL05重要用于各地银行金融信息系统，特别是对进行跨行交易ATM/POS联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上各种欺诈行为发生。 SJL05在金卡网络中配备如下图所示： SJL05支持如下功能： Ø 由硬件完毕数据加解密 Ø 对PIN加/解密、验证及转发 Ø 消息来源对的性验证（MAC）产生、验证及转发 Ø 交易对的性验证（TAC）产生、验证 Ø PVV、CVV计算和验证等运用SJL05能有效防止通信信道上积极袭击行为。在金融网络中，线路上传播所有数据全是经加密机加密后密文，明文只在加密机内部浮现，所有密钥也保存在加密机内部，可有效防止内外部人员袭击。 (1)顾客输入私人密钥发卡行金卡中心收卡行 POS ATM (6) (2) (4) (3) (5) (7) 下面以有中心模式跨行交易中个人身份号PIN在ATM/POS网络传播为例，个人身份号PIN从收卡行到互换中心再由互换中心到发卡行受校验流程大体如下： PIN在ATM/POS跨行交易流程其中： Ø 顾客输入私人密码 Ø 传送被ATM/POS加密私人密码 Ø 收卡行转换私人密码 Ø 传送被收卡行加密私人密码 Ø 互换中心转换私人密码 Ø 传送被互换中心转换后私人密码 Ø 发卡行校验私人密码 3.2 技术指标 3.3 密码体制 Ø 完整安全保密体系构造 Ø 支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准SMS3-01金融专用密码算法 Ø CBC加密方式同步实现保密性与完整性 Ø 完善密钥管理系统 3.4 工作方式 Ø Ethernet：10M/100M/1000M自适应 Ø TCP/IP 3.5 兼容原则 SJL05完全兼容如下原则: Ø ANSI X3.92 数据加密算法 Ø ANSI X9.9 信息鉴别 Ø ANSI X9.8 PIN管理与安全 Ø ANSI X9.17 密钥管理 Ø ANSI X9.19 零售金融信息鉴别 Ø 各种ATM机顾客密码格式 Ø 中华人民共和国人民银行金融IC卡规范（PBOC规范） 3.6 环境规定 Ø 工作温度：0℃～40℃ Ø 存贮温度：－40℃～55℃ Ø 相对湿度：20%～80% Ø 电压：220V±10%，50Hz±3% 3.7 物理特性 Ø 外型：卧式机箱； Ø 体积尺寸： 430 mm×400mm× 88 mm Ø 整机净重： 8Kg 4 设备安装 4.1 安装条件安装密码机前，请确认满足如下条件： 1. 接受设备与装箱清单明细相应且完好无损； 2. 密码机电源开关处在断开位置； 3. 一台安装有WINDOWS系统PC机； 4. 保证输入电源电压稳定在220V±10%范畴内。 4.2 密码机示意图 B A 密码机前面板如下图所示： D G F E C 图1 前面板示意图 A： LOGO B：设备名称 C：电源批示灯 D：状态批示灯 E： USB1 F： USB2 G：控制口 L K J I H G F E D C B A 图2 背面板示意图 A：电源插座B：电源开关 C：电源电扇 D：触发开关 E：串口（打印口） F： USB口 G：散热孔 H：网口 I：机箱锁 J：加密卡 K：毁钥孔 L：接地柱 4.3 密码机硬件安装办法 1. 将密码机放在机柜里，并固定； 2. 连接通信线缆。TCP／IP通信接口：将随机提供网线一端与密码机背后ETH1连接，另一条网线与密码机ETH4连接。网线另一端插入集线器／互换机或者是主机提供以太网口。注意，如果另一端接集线器或互换机时，应使用直通网线，如果另一端接主机以太网口，应使用交插网线。确认电源开关处在断开状态后，连接电源线。注意：如果电源开关处在闭合状态，由于插入电源插头瞬间高压作用，也许损坏设备或缩短使用寿命。 3. 打开电源开关。此时前面板电源状态灯红色，打开触发开关。 4. 约数秒钟后，系统检测加密机状态，并开始加载系统，状态批示灯红色。 5. 系统加载完毕后，密码机一声长响，状态批示灯橙色，此时表白系统已加载完毕。密码机间隔1秒长响一声，可插入开机key，初次启动连接控制台终端，依照提示插入开机KEY，插入KEY后开机认证，进入维护状态，可以通过控制台管理密码机，并随时可以选取进入工作状态（或者直接进入工作状态）。 4.4 控制台终端管理程序安装办法控制台终端管理程序是应用于SJL05金融数据加密机一种终端控制台应用程序，用于对密码机网络参数配备、密钥管理以及系统控制信息进行交易解决前配备和管理。该软件需要运营在win2k/xp操作系统中，支持TCP/IP通信方式对密码机进行远程控制操作。安装：运营安装光盘中 “Setup.exe”,安装控制台终端管理。运营方式：安装控制台终端管理PC机连通密码机ETH4网口，ETH4网口IP地址192.168.1.1，点击应用程序图标"终端管理程序.exe"，程序显示下图所示初始化界面：图3. 图4. 管理终端主界面主界面中包具有七个功能标签页，分别为:基本信息、参数设立、网络配备、密钥管理、密钥产生、口令和令牌管理、恢复出厂设立。 5 控制台终端操作 5.1 基本信息 5.1.1 版本查看在控制台终端管理程序主菜单中，启动后缺省页面即是“版本查看”。其中显示了密码机当前版本。图5版本查看 5.2 参数设立参数设立是对打印端口和授权控制进行配备。 5.2.1 打印端口配备选取打印端口类型，如果是端口类型为串口则还需要选取串标语；设立与否启动打印。对设立做出修改后点击“拟定”提交设立。注意：注入银行专有密钥或IC卡注入密钥时，系统会停止打印服务，操作完毕后需要在此处手动启动打印。图6打印端口配备 5.2.2 交易端口配备在该页面设立交易端口。图7交易端口配备 5.2.3 特殊授权控制对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制，勾选需要授权选项点击“拟定”提交设立。图8特殊授权控制 5.2.4 设立通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设立，设定完后来点击“拟定”按钮提交。图9设立通信格式 5.3 网络配备网络配备重要对密码机IP、安全访问控制、路由信息进行配备。 5.3.1 安全访问设立安全访问设立功能制定针对客户机访问方略。变化了规则后点击“拟定”按钮提交设立或是点击“重置”按钮恢复到修正之前状态，信息如下图所示。图10安全访问设立 5.3.1.1 添加安全访问类型点击按钮添加安全访问类型，窗口如下图所示，在窗口中选取要设立安全访问控制类型，可选取对“多台主机”、“单台主机”进行设立，点击确认后完毕添加。图11对多台主机增长访问控制IP地址图12对单台主机增长访问控制IP地址 5.3.1.2 编辑选取列表中要编辑项，点击按钮进行编辑，窗口如下图所示，在源地址中输入要访问加密机IP地址，在目地址中输入加密机IP地址。图13编辑安全访问IP 5.3.1.3 删除选取列表中要删除规则，点击按钮删除该规则，窗口如下图所示图14删除安全设立记录 5.3.2 设立密码机IP地址设立密码机IP地址。正常规则都标记为，编辑过或是新加入规则都会标记为，提交失败规则都标记为。变化了规则后点击“拟定”按钮提交设立或是点击“重置”按钮恢复到修正之前状态。图15设立加密机IP地址 5.3.2.1 添加点击按钮添加新规则图16添加接口 5.3.2.2 编辑选取列表中要编辑项，点击按钮进行编辑图17编辑接口 5.3.2.3 删除选取列表中要删除项，点击按钮删除该规则图18删除接口 5.3.3 设立密码机路由密码机路由功能修改密码机路由表。变化了规则后点击“拟定”按钮提交设立或是点击“重置”按钮恢复到修正之前状态。图19设立加密机路由 5.3.3.1 添加点击按钮添加新规则图20添加加密机路由 5.3.3.2 编辑选取列表中要编辑项，点击按钮进行编辑图21编辑加密机路由 5.3.3.3 删除选取列表中要删除项，点击按钮删除该规则图22删除加密机路由 5.4 密钥管理密钥管理重要涉及“密钥注入”、“密钥备份恢复”两大功能。 5.4.1 密钥注入依照顾客输入密钥分量注入各种密钥。 5.4.1.1 本地主密钥运营终端管理程序，选取密钥管理中“本地主密钥”。“本地主密钥”主界面如图所示。依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量两次输入一致则“CheckValue”文本框会显示相应密钥分量CheckValue,并且下一种步按钮也会被激活，点击“下一步”开始下一种密钥分量输入。当完毕最后一种密钥分量输入后点击“拟定”开始注入密钥，如果注入成功则点击 “完毕”结束该操作。图23密钥分量1 图24密钥分量2 图25密钥分量3 图26注入密钥成功 5.4.1.2 区域主密钥运营终端管理程序，选取密钥管理中“区域主密钥”。“区域主密钥”主界面如图所示。选取需要“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量两次输入一致则“CheckValue”文本框会显示相应密钥分量CheckValue,并且下一种步按钮也会被激活，点击“下一步”开始下一种密钥分量输入。当完毕最后一种密钥分量输入后点击“拟定”开始注入密钥，如果注入成功则点击 “完毕”结束该操作。图27密钥分量1 图28密钥分量2 图29密钥分量3 图30密钥注入成功 5.4.1.3 终端主密钥运营终端管理程序，选取密钥管理中“终端主密钥”。“终端主密钥”主界面如图所示。选取需要“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量两次输入一致则“CheckValue”文本框会显示相应密钥分量CheckValue,并且下一种步按钮也会被激活，点击“下一步”开始下一种密钥分量输入。当完毕最后一种密钥分量输入后点击“拟定”开始注入密钥，如果注入成功则点击“完毕”结束该操作。图31密钥分量1 图32密钥分量2 图33密钥分量3 图34密钥注入成功 5.4.1.4 Key注入密钥选取密钥管理中“key注入密钥”。主界面如下图所示。选取需要“密钥类型”，依次输入“分量个数”、“密钥分量1口令”。如果同一密钥分量两次输入一致则“CheckValue”文本框会显示相应密钥分量CheckValue,并且下一种步按钮也会被激活，点击“下一步”开始下一种密钥分量输入。当完毕最后一种密钥分量输入后点击“拟定”开始注入密钥，如果注入成功则点击“完毕”结束该操作。图35key注入密钥 5.4.2 本地主密钥校验值图36 本地主密钥校验值 5.4.3 密钥备份恢复备份密码机中所有密钥对到USB-Key中或从USB-Key中恢复密钥到密码机。 5.4.3.1 备份密钥选取密钥类型，点击“备份密钥”选取钮切换到“备份密钥”功能，在“口令”和“确认口令”中输入一致密码，把USB-Key插入到密钥机中，点击“备份” 按钮开始备份操作。图37备份密钥 5.4.3.2 恢复密钥选取密钥类型，点击“恢复密钥”选取钮切换到“恢复密钥”功能，在“口令”中输入密码，把USB-Key插入到密钥机中，点击“恢复” 按钮开始恢复操作。图38恢复密钥 5.5 密钥产生 5.5.1 随机密钥运营终端管理程序，选取密钥管理中“随机密钥”。“随机密钥”主界面如下图所示。一方面，选取“密钥长度”，然后在“其他选项”中选取相应选项，点击“拟定”开始产生随机密钥，产生成功后相应文本框中会显示密钥有关信息。若密钥分量值设定不不大于1，则每点击“拟定”按钮一次，产生一种相应密钥数据信息。图39随机密钥最后，点击“完毕”结束操作。 5.6 口令和令牌管理 5.6.1 key操作初始化开机Key或修改备份Key口令。key操作主界面如下图所示。 5.6.1.1 初始化Key 点击“初始化Key”按钮切换到“初始化Key”功能，选取Key类型，点击“初始化” 按钮开始初始化操作。执行初始化Key操作后，必要重新启动加密机。图40 key初始化操作 5.6.1.2 修改备份Key口令点击“修改备份Key口令”按钮切换到“修改备份Key口令”功能,在“旧口令”中输入Key原有口令，在“新口令”和“确认新口令”中输入一致新口令，点击“修改”按钮开始修改操作。图41修改备份key口令 5.7 恢复出厂设立 5.7.1 销毁密钥第一次使用时，请先设立毁钥口令，初始“旧口令”为空。输入毁钥“旧口令”和“新口令”，点击“修改”，便可完毕毁钥口令修改。输入毁钥口令，点击“毁钥”按钮，完毕毁钥；图42销毁密钥附录A 密码机提示音提示音内容一声长音插入KEY(IC卡)或换KEY(IC卡) 两声短音 KEY(IC卡)操作成功四声短音 KEY(IC卡)操作失败一声长音一声短音换KEY(IC卡)

展开阅读全文