加密机使用手册

1、SHJ0902加密机使用手册U意&广州江南科友科技股份有限公司2010-01unionii江南科支目录第章支付务密码机简介4.1.1 密码机的功能4.1.2 密码机的技术特点4.1.3 密码机的技术指标5.1.4 密码机的外形结构5.第二章支付服务密码机的使用6.2.1 密码机的配套清单6.2.2 密码机的安装7.2.2.1 安装步骤7.2.2.2 密码机的初始化.7.2.2.3 注入密钥7.2.3 密码机各部分的说明8.2.3.1 IC卡插座8.2.3.2 密钥销毁锁8.2.3.3 机仓后部的锁8.2.3.4 蜂鸣器8.2.4 密码机的接口8.2.5 注意事项9.第三章密钥管理哑终端使用说明

2、1.03.1使用说明10第四章加密机配置1.14.1 设置加密机IP1.14.2 查看、添加和删除客户端IP1.14.3 设置加密常用设置124.4 查看加密机IP地址、网关和子网掩码12unionl江南科支第五章超级管理员，管理员和维护权限1.35.1 加密机权限分类135.2 进入相应管理权限状态135.3 超级管理员，管理员以及维护员的权限。135.3.1 超级管理员权限135.3.2 管理员权限135.3.3 维护员管理员权限145.5制作三种权限卡1.45.5.1 IC卡的格式化145.5.2 超级管理员卡的制作154.5.3管理员权限卡的制作175.5.4维护员权限卡的制作18第六

3、章密钥注入1.96.1 加载主密钥1.96.2 注入功能密钥206.2.1 产生随机的功能密钥206.2.2 产生密钥命令FK02.16.2.3 明文分量类索引密钥注入22附录24附录1所有终端命令功能表24附录2LMK25附录3密钥类型表27第一章支付服务密码机简介支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。此密码机设计可靠，结构合理，使用方便，外型美观。1.1 密码机的功能支付服务密码机是金融网络安全系统的重要组成部分之一，主要的功能是实现对网络上传输的信息进行保护或鉴别，以保证金融信息的正确性，能够有效防止对通信数据的非法窃取或

4、篡改。1.2 密码机的技术特点?用于TCP/IP协议。?所有密钥库的自动维护功能，包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。?密码机具有完善的密钥保护功能，即使掉电，也能保护好密钥不被丢失；另外还有非法操作时的密钥销毁功能。?具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复。?可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有完善的人机交互界面1.3 密码机的技术指标接口方式：RJ/45及RS-232传输速率：10M/100M/1G自适应工作电压：220V25%、50HZ功耗：85W可靠性：MTBF40,000h1.4 密码机的

5、外形结构图一：密码机前视图说明1、IC卡插座此处是管理密码机的IC卡的插入口2、密钥销毁锁紧极时可销毁密钥3、电源灯当密码机接通电源时，电源灯亮4、工作灯当密码机正进行加、脱密等安全处理时，加密灯亮5、报警灯当密码机处于非正常状态时，报警灯亮，并伴有报警声图二：密码机后视图说明1、电源开关按钮控制对密码机的电2、交流电源插座3、机仓后锁技术人员由此打开机箱维护密码机（用户请勿私自打开，否则可能造成严重后果）4、RS-232C9芯插座25、TCP/IP接口26、TCP/IP接口17、并口（接并口打印机用）8、RS-232C9芯插座1第二章支付服务密码机的使用2.1密码机的配套清单?密码机一台?使

6、用说明书一本?220狡流电源线一根?IC卡一套（6张）?串口线一根62.2.1 安装步骤第一步密码机通过TCP/IP接口与主机连接，即可进入生产环境。第二步固定好线缆的两端，以保证其良好的接触和安全。第三步接上220V的交流电源线，打开密码机交流电源开关。2.2.2 密码机的初始化在哑终端上进行如下初始化（连接方法见第3章）：为密码机分配IP地址、网关及子网掩码；为密码机分配一个通信端口；为密码机分配一个客户；为密码机设置PIN长度、消息头长度、字符编码等。2.2.3 注入密钥密码机在使用之前应先注入密钥。如果没有注入密钥，密码机起动后会报警。在哑终端上进行如下操作：（方法见第3章）完成密码机

7、三张超级权限卡的制作，再从三张超级权限卡中导入主密钥三个成份，在密码机中自动合成主密钥。2.3.1 IC卡插座密码机采用推推式IC卡座。将密码机专用卡的触片面向上、向前,按照IC卡上标示的方向，对准插座方向适当用力推入即可操作，再轻推一下即可弹出，此时才可以拔出IC卡。2.3.2 密钥销毁锁用于销毁密钥。销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1秒后密钥销毁。2.3.3 机仓后部的锁用来固定机仓。2.3.4 蜂鸣器密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中给予声音提示。2.4密码机的接口密码机有3个接口：2个以太网口，1个串口密码机必须注入密钥才能正常工作。

8、严禁带电打开密码机的机仓和拨/插通信线缆。严禁强电流、高电压对密码机的冲击。密码机不能正常工作时，请填好保修单，及时与供应商联系，以便进行检查、维修。若IC卡损坏，严禁随便丢弃，必须交还给配发单位，由配发单位统一处理。第三章密钥管理哑终端使用说明3.1使用说明打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM端口（CONSOLE口）。连接方法：用哑终端连接线缆连接PC机的串口和密码机的COM端口。测试过程中用PC机上Windows自带的“超级终端”软件，模拟哑终端。在Windows桌面环境下依次点击：开始所有程序，附件通信,超级终端,运行“超级终端”。超级终端设置：9600bps、

9、8位数据位、1位停止位、无奇偶校验位。10unin江南科友第四章加密机配置4.1 设置加密机IP超级终端与加密机连接好，在HSM-AUTH3提示符下执行list命令，将会显示加密机自带的所有终端命令：aacnacyadbccardcardkeyccchcheckcheckkeyckclearallkeyclscopycpcsctcvdesecfcfkgchelphistoryipivkakbkekeykgkilistlkloloadmkloadtestkeyltkmkmkadministermksupermkworkerportprinterprtpvpwqhqprandrcrebootren

10、ewsfverwk在HSM-AUTH提示符下执行IP命令：HSM-AUTH3ipEnterIPaddress:10.8.2.8EnterDefaultGateway:10.8.2.254EnterSubnetmask:255.255.255.0按回车键，加密机IP设置成功4.2 查看、添加和删除客户端IP在HSM-AUTH提示符下执行ct命令:11union卷江南科支1. 192.168.1.2442. 200.200.200.244Addaclient/Deleteaclient/deleteallClientsA/D/C:选择A、DC完成客户端IP的添加和删除。4.3 设置加密常用设置在H

11、SM-AUTH提示符下执行ch命令:该命令功能设置PIN长度,消息头长度，打印方式以及字符编码方式。HSM-AUTH3chPinLength4-12:6MessageHeaderLength0-99:0PrinterResponse1-2:1Ascii/Ebcdic/IBM5250A/E/I:APassword/ClearP/C:P4.4 查看加密机IP地址、网关和子网掩码在HSM-AUTH提示符下执行qh命令：当执行qp后，加密机输出如下信息：HSM-AUTH3qpIPaddress:10.8.2.8DefaultGateway:10.8.2.254Subnetmask:255.255.25

12、5.012第五章超级管理员，管理员和维护权限5.1 加密机权限分类由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置，从安全方面考虑，加密机管理权限分3种：超级管理员，管理员以及维护权限。不同权限身份的管理人员对加密机执行的操作不同。5.2 进入相应管理权限状态当用超级终端连接加密机时，默认的是维护管理员权限，如果要进入超级管理员和管理员全选，需要执行终端命令a,按照提示插入IC卡，输入IC卡口令的过程中，加密机会计算出IC中的校验值与密码机中存储的校验值做比较，然后进入相应的管理权限状态。5.3 超级管理员，管理员以及维护员的权限。5.3.1 超级管理员权限超级管理员拥有最高权限，能

13、执行所有的终端命令。（终端命令功能见附录1）5.3.2 管理员权限管理员权限能执行加密了提供的大部分终端命令，权限如下：a,b,c,card,cc,ch,check,ckeckkey,ck,cls,ct,cv,des,ec13unionii江南科支fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port,printer,prt,pv,pw,qh,qp,rand,rc,ver,wk,history5.3.3 维护员管理员权限维护员权限很低，只能执行仅有的几条终端命令，权限如下：a,card,check,checkkey,des,history,qh,qp,r

14、and,rc,ver这些终端命令基本上是一些查看加密机相关设置的命令。5.5制作三种权限卡5.5.1 IC卡的格式化在制作权限卡之前，必选将IC卡格式化，格式化终端命令fc,示例如下：HSM-AUTH3fcSomethinginthecard,Continue?Y/N:YCardpin:*RetypeCardpin:*EnterdateYYMMDD:090225EntertimeHHMMSS:220000EnterIssuerID:0000EnterUserID:0000Formatsuccess!14unioni江南科支在格式化的过程中，对IC卡设置了密码，这个密码卡片持有人必须记住，因为在

15、后面制作权限卡的时候会要求输入卡密码。5.5.2 超级管理员卡的制作制作超级管理员权限卡其实也就是制作加密机主密钥的一个过程，在执行mksuper命令后，会要求输入3个分量，三个分量分别存储在三张IC里面，做好密钥备份工作。加密机加载主密钥执行loadmk命令，加密机会提示按顺序插入三张超级管理员卡，因此在制作超级管理员卡的时候必须记住IC卡的次序，且在有几台加密机的情况下必须标明每套卡与加密机的对应关系。超级管理员卡制作步骤如下所示：HSM-AUTH3mksuperRmkcomponent1:*RetypeRmkcomponent1:*Rmkcomponent2:*RetypeRmkcomp

16、onent2:*Rmkcomponent3:*15uniori江南科支RetypeRmkcomponent3:*Insertthesupercard1andpressENTER.Card1PIN:*component1checkvalue:82E13665B4624DF5Makethesupercard1success!Insertthesupercard2andpressENTER!Card2PIN:*Sorry,passworderror!remaintimeis2Insertthesupercard2andpressENTER!Card2PIN:*component2checkvalue

17、:8CA64DE9C1B123A7Makethesupercard2success!Insertthesupercard3andpressENTER!Card3PIN:*component3checkvalue:8CA64DE9C1B123A7Makethesupercard3success!16unionl江南科支4.5.3管理员权限卡的制作将格式化的IC卡插入加密机，执行mkadminister终端命令，力密机提示输入Cardl密码，当密码输入正确后加密返回管理权限卡的校验值，这个校验值将存入加密机，以后身份验证就是跟这个校验值有关系。管理员权限卡的制作过程如下：HSM-AUTH3mkad

18、ministerInserttheadministercard1andpressENTER!administercard1PIN:*Makeadministercard1now!Pleasewaitfor.Cardcheckvalue:F44D424C2DD75AE9Maketheadministercard1success!NewHsmPassword4:*RetypeNewHsmPassword4:*HsmPassword4SetOk!Inserttheadministercard2andpressENTER!administercard2PIN:*Makeadministercard2n

19、ow!Pleasewaitfor.Cardcheckvalue:D86F0CF403ECCDA4Maketheadministercard2success!17uni9no江南科支NewHsmPassword5:*RetypeNewHsmPassword5:*HsmPassword5SetOk!HSM-AUTH3mkwokermkwoker:commandnotfound!5.5.4维护员权限卡的制作将格式化后的IC卡插入加密机，执行终端命令mkworker,然后按加密机提示输入信息。制作过程如下：HSM-AUTH3mkworkerInserttheworkercardandpressENTE

20、R!workercardPIN:*Makeworkercardnow!Pleasewaitfor.Cardcheckvalue:0A410D6c7702F77AMaketheworkercardsuccess!NewHsmPassword6:*RetypeNewHsmPassword6:*HsmPassword6SetOk!18江南科友第六章密钥注入6.1 加载主密钥加载主密钥后，下次重启连接PC超级终端将是维护员权限，如果加密机是加载的测试密钥，则再次重启加密机连接PC超级终端将是超级管理员权限。加密机投入运行时，必须先制作超级管理员卡和装载MK由于DES算法依靠某一个密钥进行加密，同时所有

21、密钥和数据都经由MKS行加密，所以MK必须通过一种安全的方法生成和维护。主密钥的加载方式是：在PC的超级终端执行LOADMK令，然后按提示插入超级管理员卡和输入密钥（超级管理员卡的制作见4.5.2）。注意：插入超级管理员卡必须按制卡顺序插入IC卡。加载主密钥的步骤如下：先制作超级管理员卡！用卡合成主密钥！HSM-AUTH3loadmkInsertthesupercard1andentercard1Pin:NewHsmPassword1:RetypeNewHsmPassword1:HsmPassword1SetOk!19union江南科支component1checkvalue:82E13665

22、B4624DF5Insertthesupercard2andentercard2Pin:*NewHsmPassword2:*RetypeNewHsmPassword2:*HsmPassword2SetOk!component2checkvalue:8CA64DE9C1B123A7Insertthesupercard3andentercard3Pin:*NewHsmPassword3:*RetypeNewHsmPassword3:*HsmPassword3SetOk!component3checkvalue:8CA64DE9C1B123A7RMKcheckvalue:82E13665B4624D

23、F56.2 注入功能密钥功能密钥的注入是通过PC超级终端执行ec或者gc终端命令生成，key终端命令用于注入索引类功能密钥。6.2.1 产生随机的功能密钥gc命令是随机产生指定的功能密钥,LMKg见附录220Keylength1/2/3:2Keytype:001ClearComponent:16EC6215E6B30B892AB3AB79021937C2EncryptedComponent:A11ED73B46CCD10B54D680A726D3E779Keycheckvalue:BAD194B693384D99SHJ0902密钥的产生需要用超级终端输入指令产生6.2.2 产生密钥命令FK。哑

24、终端命令FK,以明文或者密文方式产生各类(64/128/192)密钥，LMKg见附录2。在非变种下用明文合成ZMKHSM-AUTH3fkKeylength64/128/1921/2/3:1Keytype:000ComponentTypeClear/EncryptedC/E:CEnternumberofComponents(2-9):2Entercomponent1:*Entercomponent2:*是否变种加密Y/N:NEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A721在变种下用明文合成ZMKHSM-AUTH3fkKey

25、length64/128/192(1/2/3:1Keytype:000ComponentTypeClear/EncryptedC/E:CEnternumberofComponents(2-9):2Entercomponent1:*ErrorInput,Thedataisshortorlong!Entercomponent1:*Entercomponent2:*是否变种加密Y/N:YEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A76.2.3 明文分量类索引密钥注入哑终端命令key,注入密钥后将对密钥进行奇偶校验处理HSM-AU

26、TH3keyKeylength64/1281/2:2Keyindex:099EnternumberofComponents(2-9):222ErrorInput,Thedataisshortorlong!Entercomponentl:*Reentercomponent1:*Entercomponent2:*Reentercomponent2:*Keycheckvalue:82E13665B4624DF523附录附录1所有终端命令功能表终端命令功能a进入身份验证b用ZMK密文产生ZPK在LMK和ZMK下力口密的密文和校验值c进入维护管理员身份card查看卡片校验值ec输入密钥明文经加密机加密后

27、输出密文和校验值（输入密钥类型和明文的时候是/、可见的）kg输入ZMK密文，产生各类型密钥并在LMK和ZMK下加密fk以明文或者密文方式产生各类（64/128/192）密钥gc随机数生成各种密钥，并输入密钥明文和密文以及校验值rand产生随机密钥并输出校验值Ka随机产生PVK和CVK的A,B两部分在LMK下加密的密文和校验值kb将pvk和cvk的A,B两部分从LMK加密转换到ZMK下加密，并输出校验值ivpvk和cvk的A,B两部分从ZMK加密转换到LMK下加密，输出密文和校验值ck计算密钥校验值pv产生pvvke将密钥从LMK加密转到ZMK加密ki将密钥从ZMK下加密转到LMK下加密key以分量方式产生（64或128）索引下的密钥（奇校验处理）scb2key以分量方式产生（64或128）索引下的密钥（无奇校验处理）24lk=loadmk加载主密钥ltk=loadtestkey加载测试密钥MK输入主密钥并导入IC卡pw更改HSM和IC的pinrc输入密码是不显示输入域，查看卡片信息wk制作维护权限卡fc格式化IC卡（在做身份认证卡前必须先格式化IC卡）ad制作管理员权限卡qh查看力密机的常用设置qp查看加密机IP和网关以及子网掩码ver查看加密机版本信息reboot重启