加密机使用手册

SHJ0902SHJ0902 加密机使用手册加密机使用手册 广州江南科友科技股份有限公司广州江南科友科技股份有限公司 2010 01 2 目目 录录 第一章第一章 支付服务密码机简介支付服务密码机简介 4 1 1密码机的功能 4 1 2密码机的技术特点 4 1 3密码机的技术指标 5 1 4密码机的外形结构 5 第二章第二章 支付服务密码机的使用支付服务密码机的使用 6 2 1密码机的配套清单 6 2 2密码机的安装 7 2 2 1安装步骤 7 2 2 2密码机的初始化 7 2 2 3注入密钥 7 2 3密码机各部分的说明 8 2 3 1IC 卡插座 8 2 3 2密钥销毁锁 8 2 3 3机仓后部的锁 8 2 3 4蜂鸣器 8 2 4密码机的接口 8 2 5注意事项 9 第三章第三章 密钥管理哑终端使用说明密钥管理哑终端使用说明 10 3 1 使用说明 10 第四章第四章 加密机配置加密机配置 11 4 1 设置加密机 IP 11 4 2 查看 添加和删除客户端 IP 11 4 3 设置加密常用设置 12 4 4 查看加密机 IP 地址 网关和子网掩码 12 3 第五章第五章 超级管理员 管理员和维护权限超级管理员 管理员和维护权限 13 5 1 加密机权限分类 13 5 2 进入相应管理权限状态 13 5 3 超级管理员 管理员以及维护员的权限 13 5 3 1 超级管理员权限 13 5 3 2 管理员权限 13 5 3 3 维护员管理员权限 14 5 5 制作三种权限卡 14 5 5 1 IC 卡的格式化 14 5 5 2 超级管理员卡的制作 15 4 5 3 管理员权限卡的制作 17 5 5 4 维护员权限卡的制作 18 第六章第六章 密钥注入密钥注入 19 6 1 加载主密钥 19 6 2 注入功能密钥 20 6 2 1 产生随机的功能密钥 20 6 2 2 产生密钥命令 FK 21 6 2 3 明文分量类索引密钥注入 22 附录附录 24 附录 1 所有终端命令功能表 24 附录 2 LMK 表 25 附录 3 密钥类型表 27 4 第一章第一章 支付服务密码机简介支付服务密码机简介 支付服务密码机是用于银行卡网络系统的支持多进程的主机节点 数据密码机 直接与主机相连接 以规定的协议通讯 此密码机设 计可靠 结构合理 使用方便 外型美观 1 11 1密码机的功能密码机的功能 支付服务密码机是金融网络安全系统的重要组成部分之一 主要 的功能是实现对网络上传输的信息进行保护或鉴别 以保证金融信 息的正确性 能够有效防止对通信数据的非法窃取或篡改 1 21 2密码机的技术特点密码机的技术特点 用于 TCP IP 协议 所有密钥库的自动维护功能 包括密钥的产生 分发 注入 和销毁 支持哑终端密钥管理方式 密码机具有完善的密钥保护功能 即使掉电 也能保护好密钥 不被丢失 另外还有非法操作时的密钥销毁功能 具有完善的系统监测功能 可监测密码机硬件及软件的运行 状态 并可对故障进行自动恢复 可以通过软件 硬件来设置 检测各部分的功能 设定系统 的运行参数 具有完善的人机交互界面 5 1 31 3密码机的技术指标密码机的技术指标 接口方式 RJ 45 及 RS 232 传输速率 10M 100M 1G 自适应 工作电压 220V 25 50HZ 功 耗 85W 可 靠 性 MTBF 40 000h 1 41 4密码机的外形结构密码机的外形结构 图一 密码机前视图说明 IC 卡插座 此处是管理密码机的 IC 卡的插入口 密钥销毁锁 紧极时可销毁密钥 电源灯 当密码机接通电源时 电源灯亮 工作灯 当密码机正进行加 脱密等安全处理时 加密灯亮 报警灯 当密码机处于非正常状态时 报警灯亮 并伴有报警声 6 图二 密码机后视图说明 1 电源开关按钮控制对密码机的电 2 交流电源插座 3 机仓后锁 技术人员由此打开机箱维护密码机 用户请勿私自打开 否则可能造成 严重后果 4 RS 232C 9 芯插座 2 5 TCP IP 接口 2 6 TCP IP 接口 1 7 并口 接并口打印机用 8 RS 232C 9 芯插座 1 第二章第二章 支付服务密码机的使用支付服务密码机的使用 2 12 1密码机的配套清单密码机的配套清单 密码机一台 使用说明书一本 220V交流电源线一根 IC卡一套 6张 串口线一根 7 2 22 2密码机的安装密码机的安装 2 2 12 2 1 安装步骤安装步骤 第一步密码机通过 TCP IP 接口与主机连接 即可进入生产环 境 第二步固定好线缆的两端 以保证其良好的接触和安全 第三步接上 220V 的交流电源线 打开密码机交流电源开关 2 2 22 2 2 密码机的初始化密码机的初始化 在哑终端上进行如下初始化 连接方法见第 3 章 为密码机分配 IP 地址 网关及子网掩码 为密码机分配一个通 信端口 为密码机分配一个客户 为密码机设置 PIN 长度 消息头 长度 字符编码等 2 2 32 2 3 注入密钥注入密钥 密码机在使用之前应先注入密钥 如果没有注入密钥 密码机起 动后会报警 在哑终端上进行如下操作 方法见第 3 章 完成密码机三张超级权限卡的制作 再从三张超级权限卡中导入 主密钥三个成份 在密码机中自动合成主密钥 8 2 32 3密码机各部分的说明密码机各部分的说明 2 3 12 3 1 ICIC 卡插座卡插座 密码机采用推推式 IC 卡座 将密码机专用卡的触片面向上 向 前 按照 IC 卡上标示的方向 对准插座方向适当用力推入即可操作 再轻推一下即可弹出 此时才可以拔出 IC 卡 2 3 22 3 2 密钥销毁锁密钥销毁锁 用于销毁密钥 销毁密钥时 先将密码机电源关闭 然后密钥销 毁锁转至销毁状态 1 秒后密钥销毁 2 3 32 3 3 机仓后部的锁机仓后部的锁 用来固定机仓 2 3 42 3 4 蜂鸣器蜂鸣器 密码机内部还装有蜂鸣器 用于异常时报警或者在有些操作过程 中给予声音提示 2 42 4密码机的接口密码机的接口 密码机有 3 个接口 2 个以太网口 1 个串口 9 2 52 5注意事项注意事项 密码机必须注入密钥才能正常工作 密码机必须注入密钥才能正常工作 严禁带电打开密码机的机仓和拨严禁带电打开密码机的机仓和拨 插通信线缆 插通信线缆 严禁强电流 高电压对密码机的冲击 严禁强电流 高电压对密码机的冲击 密码机不能正常工作时 请填好保修单 及时与供应商联系 以密码机不能正常工作时 请填好保修单 及时与供应商联系 以 便进行检查 维修 便进行检查 维修 若若 ICIC 卡损坏 严禁随便丢弃 必须交还给配发单位 由配发单卡损坏 严禁随便丢弃 必须交还给配发单位 由配发单 位统一处理 位统一处理 10 第三章第三章 密钥管理哑终端使用说明密钥管理哑终端使用说明 3 13 1 使用说明使用说明 打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机 COM1 端口 CONSOLE 端口 连接方法 用哑终端连接线缆连接 PC 机的串口和密码机的 COM1 端口 测试 过程中用 PC 机上 Windows 自带的 超级终端 软件 模拟哑终端 在 Windows 桌面环境下依次点击 开始开始开始开始 所有程序所有程序所有程序所有程序 附件附件附件附件 通信通信通信通信 超级终端超级终端超级终端超级终端 运行 超级终端 超级终端设置 9600bps 8 位数据 位 1 位停止位 无奇偶校验位 11 第四章第四章 加密机配置加密机配置 4 14 1 设置加密机设置加密机 IPIP 超级终端与加密机连接好 在 HSM AUTH3 HSM AUTH3 提示符下执行 list 命令 将会显示加密机自带的所有终端命令 a a acnacn acyacy adad b b c c cardcard cardkeycardkey cccc chch checkcheck checkkeycheckkey ckck clearallkeyclearallkey clscls copycopy cpcp cscs ctct cvcv desdes ecec fcfc fkfk gcgc helphelp historyhistory ipip iviv kaka kbkb keke keykey kgkg kiki listlist lklk lolo loadmkloadmk loadtestkeyloadtestkey ltkltk mkmk mkadministermkadminister mksupermksuper mkworkermkworker portport printerprinter prtprt pvpv pwpw qhqh qpqp randrand rcrc rebootreboot renewrenew sfsf verver wkwk 在 HSM AUTH3 HSM AUTH3 提示符下执行 IP 命令 HSM AUTH3 ip Enter IP address 10 8 2 8 Enter Default Gateway 10 8 2 254 Enter Subnet mask 255 255 255 0 按回车键 加密机 IP 设置成功 4 24 2 查看 添加和删除客户端查看 添加和删除客户端 IPIP 在 HSM AUTH3 HSM AUTH3 提示符下执行 ct 命令 12 1 192 168 1 244 2 200 200 200 244 Add a client Delete a client delete all Clients A D C 选择 A D C 完成客户端 IP 的添加和删除 4 34 3 设置加密常用设置设置加密常用设置 在 HSM AUTH3 HSM AUTH3 提示符下执行 ch 命令 该命令功能设置 PIN 长度 消息头长度 打印方式以及字符编码方式 HSM AUTH3 ch Pin Length 4 12 6 Message Header Length 0 99 0 Printer Response 1 2 1 Ascii Ebcdic IBM5250 A E I A Password Clear P C P 4 44 4 查看加密机查看加密机 IPIP 地址 网关和子网掩码地址 网关和子网掩码 在 HSM AUTH3 HSM AUTH3 提示符下执行 qh 命令 当执行 qp 后 加密机输出如下信息 HSM AUTH3 qp IP address 10 8 2 8 Default Gateway 10 8 2 254 14 Subnet mask 255 255 255 0 15 第五章第五章 超级管理员 管理员和维护权限超级管理员 管理员和维护权限 5 15 1 加密机权限分类加密机权限分类 由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配 置 从安全方面考虑 加密机管理权限分 3 种 超级管理员 管理 员以及维护权限 不同权限身份的管理人员对加密机执行的操作不 同 5 25 2 进入相应管理权限状态进入相应管理权限状态 当用超级终端连接加密机时 默认的是维护管理员权限 如果要 进入超级管理员和管理员全选 需要执行终端命令 a 按照提示插 入 IC 卡 输入 IC 卡口令的过程中 加密机会计算出 IC 中的校验值 与密码机中存储的校验值做比较 然后进入相应的管理权限状态 5 35 3 超级管理员 管理员以及维护员的权限 超级管理员 管理员以及维护员的权限 5 3 15 3 1 超级管理员权限超级管理员权限 超级管理员拥有最高权限 能执行所有的终端命令 终端命令功能见附录 1 5 3 25 3 2 管理员权限管理员权限 管理员权限能执行加密了提供的大部分终端命令 权限如下 16 a b c card cc ch check ckeckkey ck cls ct cv des ec f c fk gc ip iv ka kb ke key kg ki mkworker port printer prt pv pw qh qp rand rc ver wk history 5 3 35 3 3 维护员管理员权限维护员管理员权限 维护员权限很低 只能执行仅有的几条终端命令 权限如下 a card check checkkey des history qh qp rand rc ver 这些终端命令基本上是一些查看加密机相关设置的命令 5 55 5 制作三种权限卡制作三种权限卡 5 5 15 5 1 ICIC 卡的格式化卡的格式化 在制作权限卡之前 必选将 IC 卡格式化 格式化终端命令 fc 示例如下 HSM AUTH3 fc Something in the card Continue Y N Y Card pin Retype Card pin Enter date YYMMDD Enter time HHMMSS Enter Issuer ID 0000 Enter User ID 0000 17 Format success 在格式化的过程中 对 IC 卡设置了密码 这个密码卡片持有人 必须记住 因为在后面制作权限卡的时候会要求输入卡密码 5 5 25 5 2 超级管理员卡的制作超级管理员卡的制作 制作超级管理员权限卡其实也就是制作加密机主密钥的一个过程 在执行 mksuper 命令后 会要求输入 3 个分量 三个分量分别存储 在三张 IC 里面 做好密钥备份工作 加密机加载主密钥执行 loadmk 命令 加密机会提示按顺序插入三张超级管理员卡 因此在 制作超级管理员卡的时候必须记住 IC 卡的次序 且在有几台加密机 的情况下必须标明每套卡与加密机的对应关系 超级管理员卡制作步骤如下所示 HSM AUTH3 mksuper Rmk component 1 Retype Rmk component 1 Rmk component 2 Retype Rmk component 2 Rmk component 3 18 Retype Rmk component 3 Insert the super card1 and press ENTER Card1 PIN component 1 checkvalue 82E13665B4624DF5 Make the super card1 success Insert the super card2 and press ENTER Card2 PIN Sorry password error remain time is 2 Insert the super card2 and press ENTER Card2 PIN component 2 checkvalue 8CA64DE9C1B123A7 Make the super card2 success Insert the super card3 and press ENTER Card3 PIN component 3 checkvalue 8CA64DE9C1B123A7 Make the super card3 success 19 4 5 34 5 3 管理员权限卡的制作管理员权限卡的制作 将格式化的 IC 卡插入加密机 执行 mkadminister 终端命令 加密机提示输入 Card1 密码 当密码输入正确后加密返回管理权限 卡 1 的校验值 这个校验值将存入加密机 以后身份验证就是跟这 个校验值有关系 管理员权限卡的制作过程如下 HSM AUTH3 mkadminister Insert the administer card1 and press ENTER administer card1 PIN Make administer card1 now Please wait for Card checkvalue F44D424C2DD75AE9 Make the administer card1 success New Hsm Password4 Retype New Hsm Password4 Hsm Password4 Set Ok Insert the administer card2 and press ENTER administer card2 PIN Make administer card2 now Please wait for 20 Card checkvalue D86F0CF403ECCDA4 Make the administer card2 success New Hsm Password5 Retype New Hsm Password5 Hsm Password5 Set Ok HSM AUTH3 mkwoker mkwoker command not found 5 5 45 5 4 维护员权限卡的制作维护员权限卡的制作 将格式化后的 IC 卡插入加密机 执行终端命令 mkworker 然后 按加密机提示输入信息 制作过程如下 HSM AUTH3 mkworker Insert the worker card and press ENTER worker card PIN Make worker card now Please wait for Card checkvalue 0A410D6C7702F77A Make the worker card success New Hsm Password6 Retype New Hsm Password6 Hsm Password6 Set Ok 21 第六章第六章 密钥注入密钥注入 6 16 1 加载主密钥加载主密钥 加载主密钥后 下次重启连接 PC 超级终端将是维护员权限 如 果加密机是加载的测试密钥 则再次重启加密机连接 PC 超级终端将 是超级管理员权限 加密机投入运行时 必须先制作超级管理员卡和装载 MK 由于 DES 算法依靠某一个密钥进行加密 同时所有密钥和数据都经由 MK 进行加密 所以 MK 必须通过一种安全的方法生成和维护 主密钥的 加载方式是 在 PC 的超级终端执行 LOADMK 命令 然后按提示插入 超级管理员卡和输入密钥 超级管理员卡的制作见 4 5 2 注意 插入超级管理员卡必须按制卡顺序插入 IC 卡 加载主密钥的步骤如下 先制作超级管理员卡 用卡合成主密钥 HSM AUTH3 loadmk Insert the super card1 and enter card1 Pin New Hsm Password1 Retype New Hsm Password1 Hsm Password1 Set Ok 22 component 1 checkvalue 82E13665B4624DF5 Insert the super card2 and enter card2 Pin New Hsm Password2 Retype New Hsm Password2 Hsm Password2 Set Ok component 2 checkvalue 8CA64DE9C1B123A7 Insert the super card3 and enter card3 Pin New Hsm Password3 Retype New Hsm Password3 Hsm Password3 Set Ok component 3 checkvalue 8CA64DE9C1B123A7 RMK checkvalue 82E13665B4624DF5 6 2 注入功能密钥注入功能密钥 功能密钥的注入是通过 PC 超级终端执行 ec 或者 gc 终端命令生 成 key 终端命令用于注入索引类功能密钥 6 2 16 2 1 产生随机的功能密钥产生随机的功能密钥 gc 命令是随机产生指定的功能密钥 LMK 表见附录 2 23 HSM AUTH3 gc Key length 1 2 3 2 Key type 001 Clear Component 16EC6215E6B30B892AB3ABC2 Encrypted Component A11ED73B46CCD10B54D680A726D3E779 Key check value BAD194BD99 SHJ0902 密钥的产生需要用超级终端输入指令产生 6 2 26 2 2 产生密钥命令产生密钥命令 FKFK 哑终端命令 FK 以明文或者密文方式产生各类 64 128 192 密钥 LMK 表见附录 2 在非变种下用明文合成 ZMK HSM AUTH3 fk Key length 64 128 192 1 2 3 1 Key type 000 Component Type Clear Encrypted C E C Enter number of Components 2 9 2 Enter component1 Enter component2 是否变种加密 Y N N Encrypted Key 98E73A903C24DDFB Key check value 8CA64DE9C1B123A7 24 在变种下用明文合成 ZMK HSM AUTH3 fk Key length 64 128 192 1 2 3 1 Key type 000 Component Type Clear Encrypted C E C Enter number of Components 2 9 2 Enter component1 Error Input The data is short or long Enter component1 Enter component2 是否变种加密 Y N Y Encrypted Key 98E73A903C24DDFB Key check value 8CA64DE9C1B123A7 6 2 36 2 3 明文分量类索引密钥注入明文分量类索引密钥注入 哑终端命令 key 注入密钥后将对密钥进行奇偶校验处理 HSM AUTH3 key Key length 64 128 1 2 2 Key index 099 Enter number of Components 2 9 2 25 Enter component1 Error Input The data is short or long Enter component1 Reenter component1 Enter component2 Reenter component2 Key check value 82E13665B4624DF5 26 附录附录 附录附录 1 1 所有终端命令功能表所有终端命令功能表 终端命令终端命令功能功能 a进入身份验证进入身份验证 b用用ZMK密文产生密文产生ZPK在在LMK和和ZMK下加密的密文和校验值下加密的密文和校验值 c进入维护管理员身份进入维护管理员身份 card查看卡片校验值查看卡片校验值 ec 输入密钥明文经加密机加密后输出密文和校验值 输入密钥类输入密钥明文经加密机加密后输出密文和校验值 输入密钥类 型和明文的时候是不可见的 型和明文的时候是不可见的 kg输入输入ZMK密文 产生各类型密钥并在密文 产生各类型密钥并在LMK和和ZMK下加密下加密 fk以明文或者密文方式产生各类 以明文或者密文方式产生各类 64 128 192 密钥 密钥 gc随机数生成各种密钥 并输入密钥明文和密文以及校验值随机数生成各种密钥 并输入密钥明文和密文以及校验值 rand产生随机密钥并输出校验值产生随机密钥并输出校验值 Ka 随机产生随机产生PVK和和CVK的的A B两部分在两部分在LMK下加密的密文和校验下加密的密文和校验 值值 kb 将将pvk和和cvk的的A B两部分从两部分从LMK加密转换到加密转换到ZMK下加密 并下加密 并 输出校验值输出校验值 iv pvk和和cvk的的A B两部分从两部分从ZMK加密转换到加密转换到LMK下加密 输出下加密 输出 密文和校验值密文和校验值 ck计算密钥校验值计算密钥校验值 pv产生产生pvv ke将密钥从将密钥从LMK加密转到加密转到ZMK加密加密 ki将密钥从将密钥从ZMK下加密转到下加密转到LMK下加密下加密 key以分量方式产生 以分量方式产生 64或或128 索引下的密钥 奇校验处理 索引下的密钥 奇校验处理 scb2key以分量方式产生 以分量方式产生 64或或128 索引下的密钥 无奇校验处理 索引下的密钥 无奇校验处理 27 lk loadmk加载主密钥加载主密钥 ltk loadtestkey加载测试密钥加载测试密钥 MK输入主密钥并导入输入主密钥并导入IC卡卡 pw更改更改HSM和和IC的的pin rc输入密码是不显示输入域 查看卡片信息输入密码是不显示输入域 查看卡片信息 wk制作维护权限卡制作维护权限卡 fc格式化格式化IC卡 在做身份认证卡前必须先格式化卡 在做身份认证卡前必须先格式化IC卡 卡 ad制作管理员权限卡制作管理员权限卡 qh查看加密机的常用设置查看加密机的常用设置 qp查看加密机查看加密机IP和网关以及子网掩码和网关以及子网掩码 ver查看加密机版本信息查看加密机版本信息 reboot重启加密机重启加密机 printer设置加密机打印方式设置加密机打印方式 cc设置加