SJL05金融数据加密机用户手册2.0

1、SJL05 金融数据加密机1.00成都卫士通信息产业股份有限公司目目 录录1 1产品概述产品概述.1 12 2设备清单设备清单.1 13 3产品介绍产品介绍.2 23.1主要功能.23.2技术指标.43.3密码体制.43.4工作方式.43.5兼容标准.43.6环境要求.43.7物理特性.54 4设备安装设备安装.5 54.1安装条件.54.2密码机示意图 .54.3密码机硬件安装方法.64.4控制台终端管理程序安装方法 .75 5控制台终端操作控制台终端操作 .8 85.1基本信息.85.1.1版本查看.85.2参数设置.95.2.1打印端口配置.95.2.2交易端口配置.105.2.3特殊授

2、权控制.115.2.4设置通信格式.125.3网络配置.135.3.1安全访问设置.135.3.2设置密码机 IP 地址.175.3.3设置密码机路由.205.4密钥管理.235.4.1密钥注入.235.4.2本地主密钥校验值 .325.4.3密钥备份恢复.325.5密钥产生.345.5.1随钥 .345.6口令和令牌管理 .355.6.1key 操作 .355.7恢复出厂设置 .375.7.1销毁密钥.37附录附录 A A 密码机提示音密码机提示音.38381 1 产品概述产品概述SJL05 金融数据加密机是由卫士通信息产业股份研制的国第一种符合中国人民银行金融 IC 卡规(PBOC)的专用

3、于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。该产品于 1997 年率先通过由国家密码管理委员会组织的专家鉴定。鉴定委员会一致认为：“SJL05 金融数据加密机设计合理，技术先进，适用围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国先进水平，填补了我国 ATM/POS 金融数据加密设备的空白，具有推广应用价值” 。SJL05 在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代 Racal、Atalla 等国外加密设备的首选国产品。SJL05 实现了联机交易环境中需要的所有加密、解密及其他安全功能，

4、主要用于各地金融信息系统，尤其是对进行跨行交易的 ATMPOS 联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全数据的通信服务，防止网上的各种欺诈行为发生。 加密机属于敏感的电子设备，安装和使用 SJL05 前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。2 2 设备清单设备清单请检查包装箱下列物品是否齐全，若有缺件，请与我们联系；名称名称数量数量SJL05 金融数据加密机壹台直通以太网线(灰色)两根交叉以太网线(蓝色)两根产品合格证壹装箱清单壹电源线壹根用户手册壹本用户 Key陆个光盘壹注：本清单仅提供参

5、考，具体以包装箱中的装箱清单为准。注：本清单仅提供参考，具体以包装箱中的装箱清单为准。3 3 产品产品介绍介绍3.13.1 主要功能主要功能SJL05 主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS 联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全数据通信服务，防止网上的各种欺诈行为发生。SJL05 在金卡网络中的配置如下图所示：SJL05 支持如下功能： 由硬件完成数据加解密 对 PIN 的加/解密、验证及转发 消息来源正确性验证（MAC）的产生、验证及转发 交易正确性验证（TAC）的产生、

6、验证 PVV、CVV 计算和验证等利用 SJL05 能有效防止通信信道上的主动攻击行为。在金融网络中，线路上传输的所有数据全是经加密机加密后的密文，明文只在加密机部出现，所有的密钥也保存在加密机部，可有效防止外部人员的攻击。下面以有中心模式的跨行交易中个人身份号 PIN 在 ATM/POS 网络的传输为例，个人身份号 PIN 从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：PIN 在 ATM/POS 跨行交易的流程其中： 顾客输入私人密码 传送被 ATM/POS 加密的私人密码 收卡行转换私人密码 传送被收卡行加密的私人密码 交换中心转换私人密码 传送被交换中心转换后的私人密码 发卡

7、行校验私人密码3.23.2 技术指标技术指标3.33.3 密码体制密码体制 完整的安全体系结构 支持 DES、3DES、RSA、Double-one-way 算法和经国家主管部门(1)顾客输入私人密钥发卡行金卡中心收卡行POSATM(6)(2)(4)(3)(5)(7)审定批准的 SMS3-01 金融专用密码算法 CBC 加密方式同时实现性与完整性 完善的密钥管理系统3.43.4 工作方式工作方式 Ethernet：10M/100M/1000M 自适应 TCP/IP3.53.5 兼容标准兼容标准SJL05 完全兼容以下标准: ANSI X3.92 数据加密算法 ANSI X9.9 信息鉴别 AN

8、SI X9.8 PIN 的管理与安全 ANSI X9.17 密钥管理 ANSI X9.19 零售金融信息的鉴别 多种 ATM 机用户密码格式 中国人民银行金融 IC 卡规（PBOC 规）3.63.6 环境要求环境要求 工作温度：040 存贮温度：4055 相对湿度：20%80% 电压：220V10%, 50Hz3%3.73.7 物理特性物理特性 外 型：卧式机箱； 体积尺寸： 430 mm400mm 88 mm 整机净重： 8Kg4 4 设备安装设备安装4.14.1 安装条件安装条件安装密码机前，请确认满足以下条件：1. 接收设备与装箱清单明细对应且完好无损；2. 密码机电源开关处于断开位置；

9、3. 一台安装有 WINDOWS 系统的 PC 机；4. 确保输入电源电压稳定在 220V10%围。4.24.2 密码机示意图密码机示意图密码机前面板如下图所示：图 1 前面板示意图ABDGEFCA： LOGO B：设备名称 C： 电源指示灯 D： 状态指示灯 E： USB1 F： USB2 G： 控制口图 2 后面板示意图A： 电源插座 B： 电源开关C： 电源风扇 D： 触发开关E： 串口（打印口）F： USB 口G： 散热孔H： 网口I： 机箱锁J： 加密卡K： 毁钥孔L：接地柱4.34.3 密码机硬件安装方法密码机硬件安装方法1.将密码机放在机柜里，并固定；2.连接通信线缆。TCPIP

10、 通信接口：将随机提供的网线一端与密码机背后的 ETH1 连接，另一条网线与密码机的 ETH4 连接。网线的另一端插入集线器交换机或者是主机提供的以太网口。注意，如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应使用交插网线。确认电源开关处于断开状态后，连接电源线。注意：如果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用，可能损坏设备或缩短使用寿命。3.打开电源开关。此时前面板的电源状态灯红色，打开触发开关。4.约数秒钟后，系统检测加密机状态，并开始加载系统，状态指示灯红色。ABCDEFGHIJKL5.系统加载完毕后，密码机一声长响，状态指示灯橙色，此时表明系统

11、已加载完毕。密码机间隔 1 秒长响一声，可插入开机 key，初次启动连接控制台终端，根据提示插入开机 KEY，插入 KEY 后开机认证，进入维护状态，可以通过控制台管理密码机，并随时可以选择进入工作状态（或者直接进入工作状态） 。4.44.4 控制台终端管理程序安装方法控制台终端管理程序安装方法控制台终端管理程序是应用于 SJL05 金融数据加密机的一个终端控制台应用程序，用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处理前的配置和管理。该软件需要运行在 win2k/xp 的操作系统中，支持TCP/IP 通信方式对密码机进行远程控制操作。安装：运行安装光盘中的安装：运行安装光盘中

12、的 “Setup.exe”,安装控制台终端管理。运行方式运行方式：安装控制台终端管理的 PC 机连通密码机 ETH4 网口，ETH4网口 IP 地址 192.168.1.1，点击应用程序图标终端管理程序终端管理程序.exe.exe，程序显示下图所示初始化界面：图 3. 图 4. 管理终端主界面主界面中包含有七个功能标签页，分别为:基本信息基本信息、参数设置参数设置、网络配网络配置置、密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。5 5 控制台终端操作控制台终端操作5.15.1 基本信息基本信息5.1.15.1.1版本查看版本查看在控制台终端

13、管理程序的主菜单中，启动后的缺省页面即是“版本查看” 。其中显示了密码机的当前版本。图 5 版本查看5.25.2 参数设置参数设置参数设置是对打印端口和授权控制进行配置。5.2.15.2.1打印端口配置打印端口配置选择打印端口的类型，如果是端口类型为串口则还需要选择串口号；设置是否启动打印。对设置做出修改后点击“确定”提交设置。注意：注入银行专有密钥或 IC 卡注入密钥时，系统会停止打印服务，操作完成后需要在此处手动启动打印。图 6 打印端口配置5.2.25.2.2交易端口配置交易端口配置在该页面设置交易端口。图 7 交易端口配置5.2.35.2.3特殊授权控制特殊授权控制对“加密 PIN”

14、、 “解密 PIN” 、 “打印” 、 “明文注入密钥”进行权限控制，勾选需要授权的选项点击“确定”提交设置。图 8 特殊授权控制5.2.45.2.4设置通信格式设置通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设置，设定完以后点击“确定”按钮提交。图 9 设置通信格式5.35.3 网络配置网络配置网络配置主要对密码机的 IP、安全访问控制、路由信息进行配置。5.3.15.3.1安全访问设置安全访问设置安全访问设置功能制定针对客户机的访问策略。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态，信息如下图所示。图 10 安全访问设置5.3.1.15.3.1

15、.1添加安全访问类型添加安全访问类型点击按钮添加安全访问类型，窗口如下图所示，在窗口中选择要设置的安全访问控制类型，可选择对“多台主机” 、 “单台主机”进行设置，点击确认后完成添加。图 11 对多台主机增加访问控制的 IP 地址图 12 对单台主机增加访问控制的 IP 地址5.3.1.25.3.1.2编辑编辑选择列表中要编辑的项，点击按钮进行编辑，窗口如下图所示，在源地址中输入要访问加密机的 IP 地址，在目的地址中输入加密机 IP 地址。图 13 编辑安全访问 IP5.3.1.35.3.1.3删除删除选择列表中要删除的规则，点击按钮删除该规则，窗口如下图所示图 14 删除安全设置记录5.3

16、.25.3.2设置密码机设置密码机 IPIP 地址地址设置密码机 IP 地址。正常的规则都标记为，编辑过或是新加入的规则都会标记为，提交失败的规则都标记为。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。图 15 设置加密机 IP 地址5.3.2.15.3.2.1添加添加点击按钮添加新规则图 16 添加接口5.3.2.25.3.2.2编辑编辑选择列表中要编辑的项，点击按钮进行编辑图 17 编辑接口5.3.2.35.3.2.3删除删除选择列表中要删除的项，点击按钮删除该规则 图 18 删除接口5.3.35.3.3设置密码机路由设置密码机路由密码机路由功能修改密码机的

17、路由表。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。图 19 设置加密机路由5.3.3.15.3.3.1添加添加点击按钮添加新规则图 20 添加加密机路由5.3.3.25.3.3.2编辑编辑选择列表中要编辑的项，点击按钮进行编辑图 21 编辑加密机路由5.3.3.35.3.3.3删除删除选择列表中要删除的项，点击按钮删除该规则图 22 删除加密机路由5.45.4 密钥管理密钥管理密钥管理主要包括“密钥注入” 、 “密钥备份恢复”两大功能。5.4.15.4.1密钥注入密钥注入根据用户输入的密钥分量注入各种密钥。5.4.1.15.4.1.1本地主密钥本地主密钥运行

18、终端管理程序，选择密钥管理中的“本地主密钥” 。 “本地主密钥”主界面如图所示。依次输入“密钥分量 1” 、 “密钥分量 2” 、 “密钥分量 3” 。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图 23 密钥分量 1图 24 密钥分量 2图 25 密钥分量 3图 26 注入密钥成功5.4.1.25.4.1.2区域主密钥区域主密钥运行终端管理程序，选择密钥管理中的“区域主密钥

19、” 。 “区域主密钥”主界面如图所示。选择需要的“密钥长度” ，填写“密钥索引” ，依次输入“密钥分量 1” 、“密钥分量 2” 、 “密钥分量 3” 。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的 CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图 27 密钥分量 1图 28 密钥分量 2图 29 密钥分量 3图 30 密钥注入成功5.4.1.35.4.1.3终端主密钥终端主密钥运行终端管理程序，选择密钥管理中的“终端主

20、密钥” 。 “终端主密钥”主界面如图所示。选择需要的“密钥长度” ，填写“密钥索引” ，依次输入“密钥分量 1” 、“密钥分量 2” 、 “密钥分量 3” 。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的 CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图 31 密钥分量 1图 32 密钥分量 2图 33 密钥分量 3图 34 密钥注入成功5.4.1.45.4.1.4KeyKey 注入密钥注入密钥选择密钥管理中的“key 注

21、入密钥” 。主界面如下图所示。选择需要的“密钥类型” ，依次输入“分量个数” 、 “密钥分量 1 口令” 。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的 CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图 35key 注入密钥5.4.25.4.2本地主密钥校验值本地主密钥校验值图 36 本地主密钥校验值5.4.35.4.3密钥备份恢复密钥备份恢复备份密码机中所有密钥对到 USB-Key 中或从 USB-Key 中恢复密钥到密码机。5.4.3.15.4.3.1备份密钥备份密钥选择密钥类型，点击“备份密钥”选择钮切换到“备份密钥”功能，在“口令”和“确认口令”中输入一致的密码，把 USB-Key 插入到密钥机中，点击“备份” 按钮开始备份操作。图 37 备份密钥5.4.3.25.4.3.2恢复密钥恢复密钥选择密钥类型，点击“恢复密钥”选择钮切换到“恢复密钥”功能，在“口令”中输入密码，把 USB-Key 插入到密钥机中，点击“恢复” 按钮开始恢复操作。图 38 恢复密钥5.55.5 密钥产生密钥产生5.5.15.5.1随钥随钥运行终端管理程序，选择密钥管理中的“