加密机使用手册

SHJ0902加密机使用手册广州江南科友科技股份有限企业-01

目录第一章支付服务密码机简介 41.1 密码机的功能 41.2 密码机的技术特点 41.3 密码机的技术指标 51.4 密码机的外形构造 5第二章支付服务密码机的使用 62.1 密码机的配套清单 62.2 密码机的安装 72.2.1 安装环节 72.2.2 密码机的初始化 72.2.3 注入密钥 72.3 密码机各部分的阐明 82.3.1 IC卡插座 82.3.2 密钥销毁锁 82.3.3 机仓后部的锁 82.3.4 蜂鸣器 82.4 密码机的接口 82.5 注意事项 9第三章密钥管理哑终端使用阐明 103.1使用阐明 10第四章加密机配置 114.1设置加密机IP 114.2查看、添加和删除客户端IP 114.3设置加密常用设置 124.4查看加密机IP地址、网关和子网掩码 12第五章超级管理员，管理员和维护权限 135.1加密机权限分类 135.2进入对应管理权限状态 135.3超级管理员，管理员以及维护员的权限。 135.3.1超级管理员权限 135.3.2管理员权限 135.3.3维护员管理员权限 145.5制作三种权限卡 145.5.1IC卡的格式化 145.5.2超级管理员卡的制作 154.5.3管理员权限卡的制作 175.5.4维护员权限卡的制作 18第六章密钥注入 196.1加载主密钥 196.2注入功能密钥 206.2.1产生随机的功能密钥 206.2.2产生密钥命令FK。 216.2.3明文分量类索引密钥注入 22附录 24附录1所有终端命令功能表 24附录2LMK表 25附录3密钥类型表 27第一章支付服务密码机简介支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。此密码机设计可靠，构造合理，使用以便，外型美观。密码机的功能支付服务密码机是金融网络安全系统的重要构成部分之一，重要的功能是实现对网络上传播的信息进行保护或鉴别，以保证金融信息的对的性，可以有效防止对通信数据的非法窃取或篡改。密码机的技术特点用于TCP/IP协议。所有密钥库的自动维护功能，包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。密码机具有完善的密钥保护功能，虽然掉电,也能保护好密钥不被丢失；此外尚有非法操作时的密钥销毁功能。具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复。可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有完善的人机交互界面。密码机的技术指标接口方式： RJ/45及RS—232传播速率： 10M/100M/1G自适应工作电压： 220V25％、50HZ功耗： 85W可靠性： MTBF>40,000h密码机的外形构造图一：密码机前视图阐明１、IC卡插座 此处是管理密码机的IC卡的插入口２、密钥销毁锁 紧极时可销毁密钥３、电源灯 当密码机接通电源时，电源灯亮４、工作灯 当密码机正进行加、脱密等安全处理时，加密灯亮５、报警灯 当密码机处在非正常状态时，报警灯亮，并伴有报警声图二：密码机后视图阐明1、电源开关按钮控制对密码机的电2、交流电源插座3、机仓后锁技术人员由此打开机箱维护密码机(顾客请勿私自打开，否则也许导致严重后果)4、RS-232C9芯插座25、TCP/IP接口26、TCP/IP接口17、并口（接并口打印机用）8、RS-232C9芯插座1第二章支付服务密码机的使用密码机的配套清单密码机一台使用阐明书一本220V交流电源线一根IC卡一套（6张）串口线一根密码机的安装安装环节第一步 密码机通过TCP/IP接口与主机连接，即可进入生产环境。第二步 固定好线缆的两端，以保证其良好的接触和安全。第三步 接上220V的交流电源线，打开密码机交流电源开关。密码机的初始化在哑终端上进行如下初始化（连接措施见第3章）：为密码机分派IP地址、网关及子网掩码；为密码机分派一种通信端口；为密码机分派一种客户；为密码机设置PIN长度、消息头长度、字符编码等。注入密钥密码机在使用之前应先注入密钥。假如没有注入密钥，密码机起动后会报警。在哑终端上进行如下操作：（措施见第3章）完毕密码机三张超级权限卡的制作，再从三张超级权限卡中导入主密钥三个成分，在密码机中自动合成主密钥。密码机各部分的阐明IC卡插座密码机采用推推式IC卡座。将密码机专用卡的触片面向上、向前，按照IC卡上标示的方向，对准插座方向合合用力推入即可操作，再轻推一下即可弹出，此时才可以拔出IC卡。密钥销毁锁用于销毁密钥。销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1秒后密钥销毁。机仓后部的锁用来固定机仓。蜂鸣器密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中予以声音提醒。密码机的接口密码机有3个接口：2个以太网口，1个串口。注意事项密码机必须注入密钥才能正常工作。严禁带电打开密码机的机仓和拨/插通信线缆。严禁强电流、高电压对密码机的冲击。密码机不能正常工作时，请填好保修单，及时与供应商联络，以便进行检查、维修。若IC卡损坏，严禁随便丢弃，必须交还给配发单位，由配发单位统一处理。第三章密钥管理哑终端使用阐明3.1使用阐明打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1端口（CONSOLE端口）。连接措施：用哑终端连接线缆连接PC机的串口和密码机的COM1端口。测试过程中用PC机上Windows自带的“超级终端”软件，模拟哑终端。在Windows桌面环境下依次点击：开始所有程序附件通信超级终端，运行“超级终端”。超级终端设置：9600bps、8位数据位、1位停止位、无奇偶校验位。第四章加密机配置4.1设置加密机IP超级终端与加密机连接好，在HSM-AUTH3>提醒符下执行list命令，将会显示加密机自带的所有终端命令：aacnacyadbccardcardkeyccchcheckcheckkeyckclearallkeyclscopycpcsctcvdesecfcfkgchelphistoryipivkakbkekeykgkilistlkloloadmkloadtestkeyltkmkmkadministermksupermkworkerportprinterprtpvpwqhqprandrcrebootrenewsfverwk在HSM-AUTH3>提醒符下执行IP命令：HSM-AUTH3>ipEnterIPaddress:10.8.2.8EnterDefaultGateway:10.8.2.254EnterSubnetmask:255.255.255.0按回车键，加密机IP设置成功。4.2查看、添加和删除客户端IP在HSM-AUTH3>提醒符下执行ct命令:1.192.168.1.2442.200.200.200.244Addaclient/Deleteaclient/deleteallClients[A/D/C]:选择A、D、C完毕客户端IP的添加和删除。4.3设置加密常用设置在HSM-AUTH3>提醒符下执行ch命令:该命令功能设置PIN长度，消息头长度，打印方式以及字符编码方式。HSM-AUTH3>chPinLength[4-12]:6MessageHeaderLength[0-99]:0PrinterResponse[1-2]:1Ascii/Ebcdic/IBM5250[A/E/I]:APassword/Clear[P/C]:P4.4查看加密机IP地址、网关和子网掩码在HSM-AUTH3>提醒符下执行qh命令：当执行qp后，加密机输出如下信息：HSM-AUTH3>qpIPaddress:10.8.2.8DefaultGateway:10.8.2.254Subnetmask:255.255.255.0第五章超级管理员，管理员和维护权限5.1加密机权限分类由于加密机的终端命令波及到加密机的密钥以及加密机的有关配置，从安全面考虑，加密机管理权限分3种：超级管理员，管理员以及维护权限。不一样权限身份的管理人员对加密机执行的操作不一样。5.2进入对应管理权限状态当用超级终端连接加密机时，默认的是维护管理员权限，假如要进入超级管理员和管理员全选，需要执行终端命令a，按照提醒插入IC卡，输入IC卡口令的过程中，加密机会计算出IC中的校验值与密码机中存储的校验值做比较，然后进入对应的管理权限状态。5.3超级管理员，管理员以及维护员的权限。5.3.1超级管理员权限超级管理员拥有最高权限，能执行所有的终端命令。（终端命令功能见附录1）5.3.2管理员权限管理员权限能执行加密了提供的大部分终端命令，权限如下：a，b，c，card，cc，ch,check,ckeckkey,ck,cls,ct,cv,des,ec，fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port,printer,prt,pv,pw,qh,qp,rand,rc,ver,wk,history5.3.3维护员管理员权限维护员权限很低，只能执行仅有的几条终端命令，权限如下：a,card,check,checkkey,des,history,qh,qp,rand,rc,ver这些终端命令基本上是某些查看加密机有关设置的命令。5.5制作三种权限卡5.5.1IC卡的格式化在制作权限卡之前，必选将IC卡格式化，格式化终端命令fc，示例如下：HSM-AUTH3>fcSomethinginthecard,Continue?[Y/N]:YCardpin:********RetypeCardpin:********Enterdate[YYMMDD]:090225Entertime[HHMMSS]:20EnterIssuerID:0000EnterUserID:0000Formatsuccess!在格式化的过程中，对IC卡设置了密码，这个密码卡片持有人必须记住，由于在背面制作权限卡的时候会规定输入卡密码。5.5.制作超级管理员权限卡其实也就是制作加密机主密钥的一种过程，在执行mksuper命令后，会规定输入3个分量，三个分量分别存储在三张IC里面，做好密钥备份工作。加密机加载主密钥执行loadmk命令，加密机会提醒按次序插入三张超级管理员卡，因此在制作超级管理员卡的时候必须记住IC卡的次序，且在有几台加密机的状况下必须标明每套卡与加密机的对应关系。超级管理员卡制作环节如下所示：HSM-AUTH3>mksuperRmkcomponent1:************************************************RetypeRmkcomponent1:************************************************Rmkcomponent2:************************************************RetypeRmkcomponent2:************************************************Rmkcomponent3:************************************************RetypeRmkcomponent3:************************************************Insertthesupercard1andpressENTER...Card1PIN:******component1checkvalue:82E13665B4624DF5Makethesupercard1success!Insertthesupercard2andpressENTER!Card2PIN:********Sorry,passworderror!remaintimeis2Insertthesupercard2andpressENTER!Card2PIN:******component2checkvalue:8CA64DE9C1B123A7Makethesupercard2success!Insertthesupercard3andpressENTER!Card3PIN:******component3checkvalue:8CA64DE9C1B123A7Makethesupercard3success!4.5.3管理员权限卡的制作将格式化的IC卡插入加密机，执行mkadminister终端命令，加密机提醒输入Card1密码，当密码输入对的后加密返回管理权限卡1的校验值，这个校验值将存入加密机，后来身份验证就是跟这个校验值有关系。管理员权限卡的制作过程如下：HSM-AUTH3>mkadministerInserttheadministercard1andpressENTER!administercard1PIN:******Makeadministercard1now!Pleasewaitfor...Cardcheckvalue:F44D424C2DD75AE9Maketheadministercard1success!NewHsmPassword4:******RetypeNewHsmPassword4:******HsmPassword4SetOk!Inserttheadministercard2andpressENTER!administercard2PIN:******Makeadministercard2now!Pleasewaitfor...Cardcheckvalue:D86F0CF403ECCDA4Maketheadministercard2success!NewHsmPassword5:******RetypeNewHsmPassword5:******HsmPassword5SetOk!HSM-AUTH3>mkwokermkwoker:commandnotfound!5.5.4维护员权限卡的制作将格式化后的IC卡插入加密机，执行终端命令mkworker,然后按加密机提醒输入信息。制作过程如下：HSM-AUTH3>mkworkerInserttheworkercardandpressENTER!workercardPIN:******Makeworkercardnow!Pleasewaitfor...Cardcheckvalue:0A410D6C7702F77AMaketheworkercardsuccess!NewHsmPassword6:******RetypeNewHsmPassword6:******HsmPassword6SetOk!第六章密钥注入6.1加载主密钥加载主密钥后，下次重启连接PC超级终端将是维护员权限，假如加密机是加载的测试密钥，则再次重启加密机连接PC超级终端将是超级管理员权限。加密机投入运行时，必须先制作超级管理员卡和装载MK。由于DES算法依托某一种密钥进行加密，同步所有密钥和数据都经由MK进行加密，因此MK必须通过一种安全的措施生成和维护。主密钥的加载方式是：在PC的超级终端执行LOADMK命令，然后按提醒插入超级管理员卡和输入密钥（超级管理员卡的制作见4.5.2）。注意：插入超级管理员卡必须按制卡次序插入IC卡。加载主密钥的环节如下：先制作超级管理员卡！用卡合成主密钥！HSM-AUTH3>loadmkInsertthesupercard1andentercard1Pin:******NewHsmPassword1:******RetypeNewHsmPassword1:******HsmPassword1SetOk!component1checkvalue:82E13665B4624DF5Insertthesupercard2andentercard2Pin:******NewHsmPassword2:******RetypeNewHsmPassword2:******HsmPassword2SetOk!component2checkvalue:8CA64DE9C1B123A7Insertthesupercard3andentercard3Pin:******NewHsmPassword3:******RetypeNewHsmPassword3:******HsmPassword3SetOk!component3checkvalue:8CA64DE9C1B123A7RMKcheckvalue:82E13665B4624DF56.2注入功能密钥功能密钥的注入是通过PC超级终端执行ec或者gc终端命令生成，key终端命令用于注入索引类功能密钥。6.2.1产生随机的功能密钥gc命令是随机产生指定的功能密钥，LMK表见附录2。HSM-AUTH3>gcKeylength[1/2/3]:2Keytype:001ClearComponent:16EC6215E6B30B892AB3AB79021937C2EncryptedComponent:A11ED73B46CCD10B54D680A726D3E779Keycheckvalue:BAD194B693384D99SHJ0902密钥的产生需要用超级终端输入指令产生6.2.2产生密钥命令FK。哑终端命令FK，以明文或者密文方式产生各类（64/128/192）密钥，LMK表见附录2。在非变种下用明文合成ZMK：HSM-AUTH3>fkKeylength64/128/192[1/2/3]:1Keytype:000ComponentTypeClear/Encrypted[C/E]:CEnternumberofComponents(2-9):2Entercomponent1:****************Entercomponent2:****************与否变种加密[Y/N]:NEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A7在变种下用明文合成ZMK：HSM-AUTH3>fkKeylength64/128/192[1/2/3]:1Keytype:000ComponentTypeClear/Encrypted[C/E]:CEnternumberofComponents(2-9):2Entercomponent1:***************ErrorInput,Thedataisshortorlong!Entercomponent1:****************Entercomponent2:****************与否变种加密[Y/N]:YEncryptedKey:98E73A903C24DDFBKeycheckvalue:8CA64DE9C1B123A76.2.3明文分量类索引密钥注入哑终端命令key，注入密钥后将对密钥进行奇偶校验处理。HSM-AUTH3>keyKeylength64/128[1/2]:2Keyindex:099EnternumberofComponents(2-9):2Entercomponent1:*******************************ErrorInput,Thedataisshortorlong!Entercomponent1:********************************Reentercomponent1:********************************Entercomponent2:********************************Reentercomponent2:********************************Keycheckvalue:82E13665B4624DF5附录附录1所有终端命令功能表终端命令功能a进入身份验证b用ZMK密文产生ZPK在LMK和ZMK下加密的密文和校验值c进入维护管理员身份card查看卡片校验值ec输入密钥明文经加密机加密后输出密文和校验值（输入密钥类型和明文的时候是不可见的）kg输入ZMK密文，产生各类型密钥并在LMK和ZMK下加密fk以明文或者密文方式产生各类（64/128/192）密钥gc随机数生成多种密钥，并输入密钥明文和密文以及校验值rand产生随机密钥并输出校验值Ka随机产生PVK