sjl05金融数据加密机用户手册

SJL05金融数据加密机成都卫士通信息产业股份有限公司目录产品概述错误!未定义书签。产品概述2设备清单错误!未定义书签。3产品介绍错误!未定义书签。主要功能错误!未定义书签技术指标错误!未定义书签密码体制错误!未定义书签工作方式错误!未定义书签兼容标准错误!未定义书签环境要求错误!未定义书签物理特性错误!未定义书签4设备安装错误!未定义书签。安装条件错误!未定义书签密码机示意图错误!未定义书签密码机硬件安装方法错误!未定义书签控制台终端管理程序安装方法错误!未定义书签5控制台终端操作错误!未定义书签。基本信息错误!未定义书签版本查看错误!未定义书签参数设置错误!未定义书签打印端口配置错误!未定义书签交易端口配置错误!未定义书签特殊授权控制错误!未定义书签设置通信格式错误!未定义书签网络配置错误!未定义书签。安全访问设置错误!未定义书签。设置密码机IP地址错误!未定义书签。设置密码机路由错误!未定义书签。密钥管理错误!未定义书签。密钥注入错误!未定义书签。本地主密钥校验值错误!未定义书签。密钥备份恢复错误!未定义书签。密钥产生错误!未定义书签。随机密钥错误!未定义书签。口令和令牌管理key操作..恢复出厂设置.销毁密钥.错误!未定义书签。错误!未定义书签错误!未定义书签错误!未定义书签附录A密码机提示音错误!未定义书签。1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。鉴定委员会一致认为：“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值”。SJL05在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代Racal、Atalla等国外加密设备的首选国内产品。SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能，主要用于各地金融信息系统，尤其是对进行跨行交易的ATM／POS联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据的通信服务，防止网上的各种欺诈行为发生。加密机属于敏感的电子设备，安装和使用SJL05前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。2设备清单请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系；名称数量SJL05金融数据加密机壹台直通以太网线(灰色)两根交叉以太网线（蓝色）两根产品合格证壹张装箱清单壹张电源线壹根用户手册壹本用户Key陆个光盘壹张注：本清单仅提供参考，具体以包装箱中的装箱清单为准。3产品介绍3.1主要功能SJL05主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。SJL05在金卡网络中的配置如下图所示：SJL05支持如下功能：由硬件完成数据加解密对PIN的加/解密、验证及转发消息来源正确性验证（MAC）的产生、验证及转发交易正确性验证（TAC）的产生、验证PVV、CVV计算和验证等利用SJL05能有效防止通信信道上的主动攻击行为。在金融网络中，线路上传输的所有数据全是经加密机加密后的密文，明文只在加密机内部出现，所有的密钥也保存在加密机内部，可有效防止内外部人员的攻击。下面以有中心模式的跨行交易中个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：PIN在ATM/POS跨行交易的流程其中：顾客输入私人密码传送被ATM/POS加密的私人密码收卡行转换私人密码传送被收卡行加密的私人密码交换中心转换私人密码传送被交换中心转换后的私人密码发卡行校验私人密码3.2技术指标3.3密码体制完整的安全保密体系结构支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法CBC加密方式同时实现保密性与完整性完善的密钥管理系统3.4工作方式Ethernet：10M/100M/1000M自适应TCP/IP3.5兼容标准SJL05完全兼容以下标准：ANSI数据加密算法ANSI信息鉴别ANSIPIN的管理与安全ANSI密钥管理ANSI零售金融信息的鉴别多种ATM机用户密码格式中国人民银行金融IC卡规范（PBOC规范）3.6环境要求工作温度：0°C〜40°C存贮温度：一40°C〜55°C相对湿度：20%〜80%电压：220V10%,50Hz3%3.7物理特性外型：卧式机箱；体积尺寸：430mmX400mmX88mm整机净重：8Kg

4设备安装4.1安装条件安装密码机前，请确认满足以下条件：接收设备与装箱清单明细对应且完好无损；密码机电源开关处于断开位置；一台安装有WINDOWS系统的PC机；确保输入电源电压稳定在220V10%范围内。4.2密码机示意图密码机前面板如下图所示:图1图1前面板示意图A：LOGOB：设备名称C：电源指示灯D：状态指示灯E：USB1F：USB2G：控制口K：E：USB1F：USB2G：控制口K：毁钥孔L：接地柱图图3.密码机硬件安装方法将密码机放在机柜里，并固定；连接通信线缆°TCP/IP通信接口：将随机提供的网线一端与密码机背后的ETH1连接，另一条网线与密码机的ETH4连接。网线的另一端插入集线器/交换机或者是主机提供的以太网口。注意，如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应使用交插网线。确认电源开关处于断开状态后，连接电源线。注意：如果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用，可能损坏设备或缩短使用寿命。打开电源开关。此时前面板的电源状态灯红色，打开触发开关。约数秒钟后，系统检测加密机状态，并开始加载系统，状态指示灯红色。系统加载完毕后，密码机一声长响，状态指示灯橙色，此时表明系统已加载完毕。密码机间隔1秒长响一声，可插入开机key,初次启动连接控制台终端，根据提示插入开机KEY,插入KEY后开机认证，进入维护状态，可以通过控制台管理密码机，并随时可以选择进入工作状态（或者直接进入工作状态）。控制台终端管理程序安装方法控制台终端管理程序是应用于SJL05金融数据加密机的一个终端控制台应用程序，用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处理前的配置和管理。该软件需要运行在win2k/xp的操作系统中，支持TCP/IP通信方式对密码机进行远程控制操作。安装：运行安装光盘中的“”,安装控制台终端管理。运行方式：安装控制台终端管理的PC机连通密码机ETH4网口，ETH4网口IP地址，点击应用程序图标〃终端管理程序・exe〃，程序显示下图所示初始化界面：图4.管理终端主界面主界面中包含有七个功能标签页，分别为:基本信息、参数设置、网络配置、密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。5控制台终端操作基本信息5.1.1版本查看在控制台终端管理程序的主菜单中，启动后的缺省页面即是“版本查看”。其中显示了密码机的当前版本。图5版本查看参数设置参数设置是对打印端口和授权控制进行配置。5.2.1打印端口配置选择打印端口的类型，如果是端口类型为串口则还需要选择串口号；设置是否启动打印。对设置做出修改后点击“确定”提交设置。注意：注入银行专有密钥或IC卡注入密钥时，系统会停止打印服务，操作完成后需要在此处手动启动打印。图6打印端口配置图图10安全访问设置5.2.2交易端口配置在该页面设置交易端口。图7交易端口配置5.2.3特殊授权控制对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制，勾选需要授权的选项点击“确定”提交设置。图8特殊授权控制5.2.4设置通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设置，设定完以后点击“确定”按钮提交。图9设置通信格式网络配置网络配置主要对密码机的IP、安全访问控制、路由信息进行配置。5.3.1安全访问设置安全访问设置功能制定针对客户机的访问策略。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态，信息如下图所示。图图15设置加密机IP地址5.3.1.1添加安全访问类型点击按钮添加安全访问类型，窗口如下图所示，在窗口中选择要设置的安全访问控制类型，可选择对“多台主机”、“单台主机”进行设置，点击确认后完成添加。图11对多台主机增加访问控制的IP地址图12对单台主机增加访问控制的IP地址编辑选择列表中要编辑的项，点击按钮进行编辑，窗口如下图所示，在源地址中输入要访问加密机的IP地址，在目的地址中输入加密机IP地址。图13编辑安全访问IP删除选择列表中要删除的规则，点击按钮删除该规则，窗口如下图所示图14删除安全设置记录5.3.2设置密码机IP地址设置密码机IP地址。正常的规则都标记为，编辑过或是新加入的规则都会标记为，提交失败的规则都标记为。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。添加点击按钮添加新规则图图25密钥分量3图图21编辑加密机路由图16添加接口编辑选择列表中要编辑的项，点击按钮进行编辑图17编辑接口删除选择列表中要删除的项，点击按钮删除该规则图18删除接口5.3.3设置密码机路由密码机路由功能修改密码机的路由表。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。图19设置加密机路由5.3.3.1添加点击按钮添加新规则图20添加加密机路由编辑选择列表中要编辑的项，点击按钮进行编辑删除选择列表中要删除的项，点击按钮删除该规则图22删除加密机路由密钥管理密钥管理主要包括“密钥注入”、“密钥备份恢复”两大功能。5.4.1密钥注入根据用户输入的密钥分量注入各种密钥。5.4.1.1本地主密钥运行终端管理程序，选择密钥管理中的“本地主密钥”。“本地主密钥”主界面如图所示。依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue，并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图23密钥分量1图24密钥分量2图图30密钥注入成功图26注入密钥成功5.4.1.2区域主密钥运行终端管理程序，选择密钥管理中的“区域主密钥”。“区域主密钥”主界面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”“密钥分量3”如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图27密钥分量1图28密钥分量2图29密钥分量35.4.1.3终端主密钥运行终端管理程序，选择密钥管理中的“终端主密钥”。“终端主密钥”主界面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”“密钥分量3”如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图31密钥分量1图32密钥分量2图33密钥分量3图34密钥注入成功Key注入密钥选择密钥管理中的“key注入密钥”主界面如下图所示。选择需要的“密钥类型”，依次输入“分量个数”、“密钥分量1口令”。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue，并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果图图38恢复密钥注入成功则点击“完成”结束该操作。图35key注入密钥5.4.2本地主密钥校验值图36本地主密钥校验值5.4.3密钥备份恢复备份密码机中所有密钥对到USB-Key中或从USB-Key中恢复密钥到密码机。备份密钥选择密钥类型，点击“备份密钥”选择钮切换到“备份密钥”功能，在“口令”和“确认口令”中输入一致的密码，把USB-Key插入到密钥机中，点击“备份”按钮开始备份操作。图37备份密钥恢复密钥选择密钥类型，点击“恢复密钥”选择钮切换到“恢复密钥”功能，在“口令”中输入密码，把USB-Key插入到密钥机中，点击“恢复”按钮开始恢复操作。5.5密钥产生5.5.1随机密钥运行终端管理程序，选择密钥管理中的“随机密钥”。“随机密钥”主界