SJL05金融数据加密机用户手册0

1、SJL05金融数据加密机用户手册SJLO金融数据加密机用户手BBrhe User' S Manual(ii7在使用产品前仔细阅读本r-册【壯仆1.00】版权所有翻印必究成都卫士通信息产业股份有限公司1 产品概述1.2 设备清单1.3 产品介绍2.3.1 主要功能23.2 技术指标43.3 密码体制43.4 工作方式43.5 兼容标准43.6 环境要求 43.7 物理特性54 设备安装5.4.1 安装条件54.2 密码机示意图54.3 密码机硬件安装方法 64.4 控制台终端管理程序安装方法 75 控制台终端操作8.5.1 基本信息85.1.1 版本查看85.2 参数设置95.2.1 打

2、印端口配置 95.2.2 交易端口配置105.2.3 特殊授权控制 115.2.4 设置通信格式125.3 网络配置 135.3.1 安全访问设置135.3.2 设置密码机IP地址 175.3.3 设置密码机路由 205.4 密钥管理235.4.1 密钥注入235.4.2 本地主密钥校验值 325.4.3 密钥备份恢复325.5 密钥产生345.5.1 随机密钥345.6 口令和令牌管理 35成都卫士通信息股份有限公司I -SJL05金融数据加密机用户手册5.6.1 key 操作355.7 恢复岀厂设置 375.7.1 销毁密钥37附录A密码机提示音38成都卫士通信息股份有限公司#SJL05金

3、融数据加密机用户手册1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一 种符合中国人民银行金融IC卡规范（PBOC）的专用于我国“金卡工程”的基于主 机的新型计算机网络通信数据加密机。该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。鉴定委员会一致认为：“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备， 整体技术达到国内先进水平，填补了我国 ATM/POS金融数据加密设备的空白， 具有推广应用价值”。SJL05在设计时采用国际领先的技术，几年来，公司根据 客户要求，不断对产品进行完善，提供友好的用户界面，

4、已成为银行联网工程中， 替代Racak Atalla等国外加密设备的首选国内产品。SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能，主要 用于各地金融信息系统，尤其是对进行跨行交易的ATM / POS联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机 网络系统中，为计算机网络系统提供安全保密数据的通信服务，防止网上的各种 欺诈行为发生。加密机属于敏感的电子设备，安装和使用SJL05前请仔细阅读本手册，对需 要特别注意的地方，手册中将尽量加以提醒。2设备清单请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系;名称数量SJL05金融数据加密机壹

5、台直通以太网线（灰色）两根交叉以太网线（蓝色）两根产品合格证壹张装箱清单壹张电源线壹根用户手册壹本用户Key陆个光盘壹张注：本清单仅提供参考，具体以包装箱中的装箱清单为准3产品介绍3.1主要功能SJL05主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS 联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、 邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通 信服务，防止网上的各种欺诈行为发生。SJL05在金卡网络中的配置如下图所示：吕僅驻 i. i 由.M'閒POSATMSJL05支持如下功能：由硬件完成数据加解密 对PIN的加/

6、解密、验证及转发消息来源正确性验证（MAC）的产生、验证及转发交易正确性验证（TAC）的产生、验证PVV、CVV计算和验证等利用SJL05能有效防止通信信道上的主动攻击行为。在金融网络中，线路 上传输的所有数据全是经加密机加密后的密文，明文只在加密机内部出现，所有的密钥也保存在加密机内部，可有效防止内外部人员的攻击。下面以有中心模式的跨行交易中个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下:PIN在ATM/PO跨行交易的流程顾客输入 私人密钥其中:顾客输入私人密码 传送被ATM/POS加密的私人密码 收卡行转换私人密码传

7、送被收卡行加密的私人密码交换中心转换私人密码 传送被交换中心转换后的私人密码 发卡行校验私人密码3.2技术指标3.3密码体制完整的安全保密体系结构支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法CBC加密方式同时实现保密性与完整性完善的密钥管理系统3.4工作方式Ethernet: 10M/100M/1000M 自适应TCP/IP3.5兼容标准SJL05完全兼容以下标准：ANSI X3.92数据加密算法ANSI X9.9 信息鉴别ANSI X9.8 PIN的管理与安全ANSI X9.17密钥管理ANSI X9.19零售金融信息

8、的鉴别多种ATM机用户密码格式中国人民银行金融IC卡规范（PBOC规范）3.6环境要求工作温度：0C40 C存贮温度：40 C55 E相对湿度：20%80%电压：220V10%, 50Hz3%3.7物理特性外型：卧式机箱；体积尺寸：430 mm x 400mm x 88 mm 整机净重：8Kg4设备安装4.1安装条件安装密码机前，请确认满足以下条件：1. 接收设备与装箱清单明细对应且完好无损；2. 密码机电源开关处于断开位置；3. 一台安装有 WINDOWS系统的PC机；4. 确保输入电源电压稳定在220V10%范围内4.2密码机示意图C D E F GJ J / / L图1前面板示意图A :

9、LOGO B :设备名称 C：电源指示灯 D:状态指示灯E:USB1F: USB2G: 控制口图2后面板示意图A :电源插座B :电源开关C:电源风扇D :触发开关E:串口（打印口）F:USB 口G:散热孔H:网口I :机箱锁J:加密卡K :毁钥孔L :接地柱4.3密码机硬件安装方法1. 将密码机放在机柜里，并固定；2. 连接通信线缆。TCP/IP通信接口：将随机提供的网线一端与密码机背后的ETH1连接，另一条网线与密码机的 ETH4连接。网线的另一端插 入集线器/交换机或者是主机提供的以太网口。注意，如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应 使用交插网线。

10、确认电源开关处于断开状态后，连接电源线。注意：如 果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用， 可能损 坏设备或缩短使用寿命。3. 打开电源开关。此时前面板的电源状态灯红色，打开触发开关。4. 约数秒钟后，系统检测加密机状态，并开始加载系统，状态指示灯红色。5. 系统加载完毕后，密码机一声长响，状态指示灯橙色，此时表明系统已加载完毕。密码机间隔1秒长响一声，可插入开机key,初次启动连接 控制台终端，根据提示插入开机 KEY，插入KEY后开机认证，进入维 护状态，可以通过控制台管理密码机，并随时可以选择进入工作状态（或 者直接进入工作状态）。4.4控制台终端管理程序安装方法控制台终

11、端管理程序是应用于SJL05金融数据加密机的一个终端控制台应用程序，用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处 理前的配置和管理。该软件需要运行在 win2k/xp的操作系统中，支持TCP/IP通 信方式对密码机进行远程控制操作。安装：运行安装光盘中的“Setup.exe ” ,安装控制台终端管理。运行方式：安装控制台终端管理的PC机连通密码机ETH4网口，ETH4网口IP地址192.168.1.1，点击应用程序图标"终端管理程序.exd，程序显示下图所示初始化界面：控制台终端管理程序V1.0图3.成都卫士通信息股份有限公司-7 -SJL05金融数据加密机用户手册

12、图4.管理终端主界面主界面中包含有七个功能标签页，分别为：基本信息、参数设置、网络配置、 密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。5控制台终端操作5.1基本信息5.1.1版本查看在控制台终端管理程序的主菜单中，启动后的缺省页面即是“版本查看” 其中显示了密码机的当前版本。图5版本查看5.2参数设置参数设置是对打印端口和授权控制进行配置5.2.1打印端口配置选择打印端口的类型，如果是端口类型为串口则还需要选择串口号；设置 是否启动打印。对设置做出修改后点击“确定”提交设置。注意：注入银行专有密钥或IC卡注入密钥时，系统会停止打印服务，操作 完成后需要在此处手动启动打印。成都卫士通信息股

13、份有限公司-# -SJL05金融数据加密机用户手册成都卫士通信息股份有限公司13图6打印端口配置5.2.2交易端口配置在该页面设置交易端口图7交易端口配置523特殊授权控制对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制，勾 选需要授权的选项点击“确定”提交设置。图8特殊授权控制524设置通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设置，设定完以 后点击“确定”按钮提交。SJL05金融数据加密机用户手册图9设置通信格式5.3网络配置网络配置主要对密码机的IP、安全访问控制、路由信息进行配置5.3.1安全访问设置安全访问设置功能制定针对客户机的访问策略。改变

14、了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态，信息如下图所示。图10安全访问设置5.3.1.1添加安全访问类型点击鸟按钮添加安全访问类型，窗口如下图所示，在窗口中选择要设置的 安全访问控制类型，可选择对“多台主机”、“单台主机”进行设置，点击确认后 完成添加。图11对多台主机增加访问控制的IP地址控制台终端管理程序VLO-基玉信启-琳世賓打印翰口配置 交易请口配置 峙殊揑权蒋制 讲査迪信稻式-网鸽配宣安全进订设置 设迓加密机尹地址 设査刖峦机坯由删暫珈-密霍注扎本咆主嘶络请主密钢 啓丫注入密胡 京凶主密钥咬脸值 密钥备州庚亘-删柱随密丽-哼和爭輝酹Keeffe-題出

15、厂设昼*溜密铜源1F1040x10.12255.255.255.255图12对单台主机增加访问控制的IP地址5.3.1.2 编辑选择列表中要编辑的项，点击 空按钮进行编辑，窗口如下图所示，在源地址中输入要访问加密机的IP地址，在目的地址中输入加密机IP地址控制台终端管理程序V1.0-基玉佶息 版本萱看-库数设遷打Enittn目沮 交M 口 15罡 怜珠授取挣制-冏酬堰设迓加密机1F地址 由-密朋理-密钥注/, 車地主童烷 区埼生竟钥Ke/EAS 钥 芒抱主密騒殓值-密审产生 随机需钥-口會和专常昔腔K虫操柞-恢氧岀厂设査 谓毁髓#| 团 I Ml源id 掩网10.1O.1D.12255.255

16、.255.255图13编辑安全访问IP5.3.1.3 删除选择列表中要删除的规则，点击 滅按钮删除该规则，窗口如下图所示密码机把5程民燮宝访问设置图14删除安全设置记录5.3.2设置密码机IP地址设置密码机IP地址。正常的规则都标记为匕，编辑过或是新加入的规则都会标记为，提交失败的规则都标记为改变了规则后点击“确定”按钮提交成都卫士通信息股份有限公司-23 -设置或是点击“重置”按钮恢复到修正之前的状态图15设置加密机IP地址5.3.2.1 添加点击二按钮添加新规则密码机配胃崔序设晋加密机地址控制台终端管理程序VLOE基車信豈-参数设査打轴i 配置交易端口配豊睦蘇歆控制设査逋佶植式 ?障a配迓

17、安全访可设置避趕如宦机ip皓址 设蛋加峦机齬由 -峦谒甘理'誓惧注人本地主密胡 叵境主密钥 转陆主密铜 KeJAE 钥密铝备盼恢童-密钥产生随机在钥-口爭和綁S昔理-诙蛊出厂设置销毀暑坍按口名¥工他幻1<r我态JB用胆地址1K.16«.$.2DIU子冋掩腔255-255.255.0SH图16添加接口5322编辑选择列表中要编辑的项，点击 一按钮进行编辑图17编辑接口5323删除选择列表中要删除的项，点击 错按钮删除该规则图18删除接口5.3.3设置密码机路由密码机路由功能修改密码机的路由表。改变了规则后点击“确定”按钮提 交设置或是点击“重置”按钮恢复到修正之

18、前的状态。SJL05金融数据加密机用户手册图19设置加密机路由5.3.3.1 添加点击1 1按钮添加新规则成都卫士通信息股份有限公司-21SJL05金融数据加密机用户手册图20添加加密机路由5332编辑选择列表中要编辑的项，点击 按钮进行编辑控制台终端管理程序V1.0创旦*212.121.124.122-基裤-琼勲谟長打印iftnses 交梟儒口配迓谡長通信播武-网臧豊左全述冋设卷 盪萱m窖杭期址-密*瞎理F S*Ri£A 聿地主密钥 区域圭艦钥Ke-EAS 本地主密期妆验恒 密钥备伯恢蔓-世钥产生 隧机辭-咚和警牌管理 畑號柞-恢复出厂谀运销區签钥图21编辑加密机路由5333删除选

19、择列表中要删除的项，点击 迖按钮删除该规则控制台终端管理程序VLO-基車信息 憑本畫若打像口配蚤 交易就口配且 特廉羟収光制 玄芝通眉将式-障a配舌 宜全访伺谡蚤 设直抑峦机:pit址 设置切您礙腐由 t删曽理-爾注A,本也主雪翟 区竝密袒Kev注驱钥 本刚主酗狡册値 雪得&坊恢毘-删产生随机感钥-欝和骨曲莒理畑丫廉作-应毘出厂设匿图22删除加密机路由5.4密钥管理密钥管理主要包括“密钥注入”、“密钥备份恢复”两大功能5.4.1密钥注入根据用户输入的密钥分量注入各种密钥5.4.1.1本地主密钥运行终端管理程序，选择密钥管理中的 “本地主密钥”。“本地主密钥”主界 面如图所示依次输入“密

20、钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量 的两次输入一致则“ CheckValue”文本框会显示对应密钥分量的CheckValue并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完 成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。成都卫士通信息股份有限公司-23 -SJL05金融数据加密机用户手册图26注入密钥成功成都卫士通信息股份有限公司25 -图23密钥分量1图24密钥分量2图25密钥分量3确认密朋呈3C-ecKVsiutTcLaChti-.ieADC67DS473BF2F06&CSDE9C1612

21、3A73232密码机配程程序-本地主密钥控制台终端管理程序-基本信息-总数设昼打 Enwng娈乌洁口 15罡 対族授取控制 设査谄is稻貳-网涮醴安全诂阿谡且 设迓加密机】F地址 设査加密机站由-番血理-.宅協主人本地主憲韧錢诵玉茁钥 后滩人脚 市览主密叙奁佢 密钥*粉駐=1疙钥产生随矶皙钥-口會和卅昔理Ke碟杵-恢罢岀厂设置 iflSSE 钥5.4.1.2区域主密钥运行终端管理程序，选择密钥管理中的 “区域主密钥”。“区域主密钥”主界 面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密 钥分量2”、“密钥分量3”。如果同一密钥分量的两次输入一致则“ Check

22、ValuW' 文本框会显示对应密钥分量的 CheckValue并且下一个步按钮也会被激活，点击 “下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击 “确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图27密钥分量1SJL05金融数据加密机用户手册成都卫士通信息股份有限公司-29 -图28密钥分量2图29密钥分量3图30密钥注入成功5.4.1.3终端主密钥运行终端管理程序，选择密钥管理中的“终端主密钥”。“终端主密钥”主界 面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密 钥分量2”、“密钥分量3”。如果同一密钥分量的两次输

23、入一致则“ CheckValuW' 文本框会显示对应密钥分量的 CheckValue并且下一个步按钮也会被激活，点击 “下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击 “确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图31密钥分量1图32密钥分量2SJL05金融数据加密机用户手册图34密钥注入成功成都卫士通信息股份有限公司# -图33密钥分量3控制台终端管理程序VLO-基市荷忌-章敷设置删労呈m雅认密谿昼、cheekvaluTon Cnca i.eADC67DS4?3eP2FO61616打印话口配置 取易诵口配走 特味理赳控制 设鱼通信植式-冋省配蛋Q

24、CA&IDE9C1B123A7安全访问谀走 iasuosffiipit 址 没買加言机囲由-密妣理-密舷入 本地主密铜 区战主密開 舛益主空钥 KeyttAS 钥 本电主峦钥校验值-咗产生 随机宅胡三 寫常:fil-斜牌営理 炬曲作-饭塩出厂違匿SJL05金融数据加密机用户手册5.4.1.4 Key注入密钥选择密钥管理中的“ key注入密钥”。主界面如下图所示。选择需要的“密钥类型”，依次输入“分量个数”、“密钥分量1 口令”。如 果同一密钥分量的两次输入一致则“ CheckValue文本框会显示对应密钥分量的 CheckValue并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量 的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注 入成功则点击“完成”结束该操作。图35key注入密钥5.4.2本地主密钥校验值图36本地主密钥校验值5.4.3密钥备份恢复备份密码机中所有密钥对到 USB-Key中或从USB-Key中恢复密钥到密码 机。5.4.3.1备份密钥选择密钥类型，点击“备份密钥”选择钮切换到“备份密钥”功能，在“口 令”和“确认口令”中输入一致的密码，把U