电能计量密码机(增强型)用户操作手册

1、SJJ1009(III)SJJ1009(III)电能计量密码机电能计量密码机用户操作手册用户操作手册（备备注注： 封封面面是是上上面面的的文文字字。 封封底底添添加加地地址址。地地址址：北北京京市市海海淀淀区区清清河河小小营营东东路路1 15 5 号号邮邮编编： 1 10 00 01 19 92 2电电话话： 0 01 10 0- -5 57 71 12 23 32 29 91 1（技技术术支支持持） 网网址址： w ww ww w. .e ep pr ri i. .s sg gc cc c. .c co om m. .c cn n） - i -目目 录录1产产品品概概述述 .12设设备备清清

2、单单 .13产产品品介介绍绍 .23.1功能 .23.2技术 指标 .23.2.1密码体制 .23.2.2工作方式 .33.2.3通信协议 .33.2.4兼容标准 .33.2.5稳定性指标 .33.2.6环境要求 .33.2.7物理特性 .43.2.8性能指标 .44物物理理结结构构和和设设备备安安装装 .54.1系统结构 .54.2设备部件图示 .54.3设备安装 .64.4设备开机 .84.5设备关机 .104.6控制台软件按键功能 .104.7系统状态 .115参参数数配配置置 .125.1网络配置 .125.1.1设置密码机 IP 地址和服务端口 .13- ii -5.1.2防火墙及网

3、关配置.146进进入入交交易易状状态态 .19附附录录 A 注注意意事事项项 .21附附录录 B 常常见见硬硬件件故故障障识识别别与与排排除除.23- 1 -1 1 产产品品概概述述电能计量密码机（以下简称密码机）是由 中国电力科学研究院 研制的国内第一种符合 电力行业国产 SM1 算法 的基于主机的新型计算机网络通信数据密码机 。密码机 在设计时 结合产品在电力行业的应用特点，采用国际领先技术 设计 ，满足了电力行业对密码机的要求。密码机 属于敏感的电子设备，安装和使用前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。本手册主要包括以下章节：产品清单：介绍了 密码机 的产品组成

4、。产品介绍：详细介绍 密码机 的主要功能 及性能指标。物理结构和设备安装：介绍密码机 的硬件组成，指导用户完成设备安装工作。参数配置：指导用户如何配置密码机 的通讯参数。进入交易状态：指导用户如何进入交易工作状态。在附录中， 说明 注意事项 、常见故障识别等。- 1 -2 2 设设备备清清单单请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系；本清单仅提供参考，具体以单页清单为准：名称名称数量数量密码机1 台直通以太网线2 根交叉以太网线2 根接地线1 根电源线1 根用户 Key2 个装箱清单1 张售后服务指南1 本光盘（增强型密码机参数配置手册及使用操作说明）1 张设备验货报告1 份用户

5、手册1 本产品合格证1 份螺丝和螺母5 套- 2 -3 3 产产品品介介绍绍3 3. .1 1功功能能密码机主要用于各地电力营销业务系统，为系统提供数据加密与安全保护。密码机 支持如下功能：(1)密钥管理：密钥产生、分发、分散、存储、销毁(2)SM1 数据加解密(3)对 PIN 的加 /解密、验证及转发(4)消息来源正确性验证的产生、验证及转发(5)交易正确性验证（ TAC）的产生、验证密码机 具有完善的密钥管理体系，具体包括：(1)提供由全硬件噪声源产生的随机密钥(2)通过 USBKey 注入和备份密钥(3)物理锁防撬(4)任何时候的人工销毁密钥功能利用 密码机 能有效防止通信信道上的主动攻

6、击行为。在通信网络 中，线路上传输的所有数据全是经密码机 加密后的密文，明文只在 密码机 内部出现，所有的密钥也保存在密码机内部，可有效防止内外部人员的攻击。3 3. .2 2技技术术指指标标3 3. .2 2. .1 1密密码码体体制制 对称密码算法： SM1,DES,3DES，支持多种运算模式- 3 - 非对称密码算法： RSA 摘要算法： SHA1,SHA2563 3. .2 2. .2 2工工作作方方式式 Ethernet：10M/100M/1000M 自适应3 3. .2 2. .3 3通通信信协协议议 TCP/IP3 3. .2 2. .4 4兼兼容容标标准准密码机 完全兼容以下标

7、准 : ANSI X3.92 数据加密算法 ANSI X9.9 信息鉴别 ANSI X9.8 PIN 的管理与安全 ANSI X9.17 密钥管理 中国人民银行金融IC 卡规范（ PBOC 规范） 智能电能表信息交换安全认证技术规范3 3. .2 2. .5 5稳稳定定性性指指标标以 ISO 9001 认证体系保证产品的质量 系统平均无故障时间MTBF30000 小时 3 3. .2 2. .6 6环环境境要要求求 工作温度： 040 存贮温度： 4055- 4 - 相对湿度： 20%80% 电压： 220V10%, 50Hz3%3 3. .2 2. .7 7物物理理特特性性 外型： 2U 机

8、架结构 体积尺寸： 418 mm402 mm 88 mm 整机净重： Kg3 3. .2 2. .8 8性性能能指指标标 SM1 加解密速度： 85Mbps 3DES 加解密速度： 100Mbps 1024 模长 RSA 签名： 180 次/秒 1024 模长 RSA 验证： 1000 次/秒- 5 -4 4 物物理理结结构构和和设设备备安安装装4 4. .1 1系系统统结结构构密码机 主要由以下几个部分组成：（1） 密码机 基本模块：包括 密码机 机壳及基本处理电路， 基本处理电路 负责 密码机 任务调度和各模块的协同处理，及运算处理。（2）密钥管理模块：负责 密钥的产生、存贮、销毁。（3）

9、PCI 密码模块：负责密码算法的硬件运算。（4）用户接口模块： 指控制接口 模块 ，该控制口是密码机与 安装控制台软件的计算机（以下简称“控制端计算机” ）相连的接口， 控制端计算机 通过 控制台软件 显示菜单，并提供键盘 输入 ，实现密钥注入 、密码机 参数配置以及工作状态管理。（5）通讯模块：以太网通讯接口，负责与主机的通讯功能。（6）电源模块：提供 密码机 内部各功能模块 正常工作需要的电源。4 4. .2 2设设备备部部件件图图示示密码机 前面板如下图所示：- 6 -图 1 前面板示意图A LOGO B 设备名称 C 电源指示灯 D USB 口 E 控制口 密码机后面板如下图所示：图

10、2 后面板示意图A 电源插座B 电源开关C 电源风扇 D 触发 开关E 串口F USB 口G 散热孔H 网口I 机箱锁J 加密卡K 毁钥孔L 接地柱4 4. .3 3设设备备安安装装安装 密码机 前，请确认满足以下条件： 接收设备与装箱清单对应且完好；ABCDEABCDEFGHIJKL- 7 - 密码机 电源开关处于断开位置； 确保 供电 电源电压稳定在220V10%范围内；具体安装步骤如下：1)将密码机 放在机柜里，并固定好螺钉。2)连接通信线缆。将随机提供的工作网线一端插入机器背后的以太网口1，另一端插入集线器交换机或者是主机提供的以太网口。网口 1 为交易网口，在密码机处于交易处理中保证

11、连通到交换机。注意 ：如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应使用交叉 网线。通常随机器提供的是直通网线。3)控制 端计算机 准备将随机的光盘中的控制台软件（文件名为：CSJJ1009ConfigGui 的可执行程序）复制在 控制端计算机上，并将 控制端 计算机网络配置中增加192.168.1.xx（2254 之间） ， 即增加 1 网段 IP 地址。4)连接 控制 端计算机5)网口 4 为控制网口，在设置密码机参数时保证连通交换机或直连 控制端 计算机。 再次确认电源开关处于断开状态后，连接电源线。注意：如果电源开关处于闭合状态，由于插入电源插头的瞬间高压

12、作用，可能损坏设备或缩短使用寿命。- 8 -4 4. .4 4设设备备开开机机密码机的开机顺序： 确认接通电源线后 ，打开电源总开关（机箱后标有I/O 的黑色按钮），最后按启动开关（机箱后标有白点的黑色按钮） ；1) 上电之后，密码机会有声音提示“嘀。 。 。嘀。 。 。 ”提示。2) 在控制 端计算机的 DOS 命令窗口下输入 “arp -d”直到出现 “The specified entry was not found” 。3) 在控制 端计算机的 DOS 命令窗口下输入 “ping 192.168.1.1 -t” ，如图 3 所示，一直到出现连通显示，如图 4 所示。- 9 -图 3-

13、10 -图 44) 打开控制台软件，出现 如下 界面，提示插入开机key。5) 插入开机 key 后进入管理界面，如图所示。- 11 -其中进入 2、3 菜单，都会提示输入系统管理员口令，如图所示 。4 4. .5 5设设备备关关机机关机顺序：先关闭电源总开关，然后断开电源线。- 12 -4 4. .6 6控控制制台台软软件件按按键键功功能能密码机的控制台 软件中 按键分两种：功能键和数字键。其中数字键在 软件 每次 启动后位置都会随机变化，增加 了安全性。功能键包括： 返回：退回上级菜单； 复位：进入工作状态后，重启动系统； 取消：删除输入的值； 确认：确认选项，执行选择的菜单功能； 方向键

14、：包括向左键 “” 、向上键 “” 、向右键“” 、向下键 “” ，其中向左键与向上键功能相同，向右键与向下键功能相同，均用于选择菜单或者跳出选择； 数字键：从 0F，用于输入密钥和其他数字及口令信息。4 4. .7 7系系统统状状态态密码机 总共有四种状态，分别是：自检状态：系统对硬件进行检测加载状态：检测密钥库状态并开始加载系统维护状态：进行密钥管理及系统维护工作状态（交易处理状态）：监听通信接口，接受和处- 13 -理主机请求。密码机 状态变迁如下图所示：注注意意：只只有有 密密码码机机 进进入入工工作作状状态态后后，才才允允许许接接受受主主机机发发起起的的服服务务请请求求。加载完毕复位

15、交易处理发卡服务自检状态加载状态维护状态发卡状态交易状态状态变迁图状态变迁图加电自检通过工作状态加载完毕复位交易处理发卡服务自检状态加载状态维护状态发卡状态交易状态加电自检通过工作状态- 14 -5 5 参参数数配配置置密码机支持通过控制台软件配置通讯参数，配置内容包括： 网络配置；在主菜单上选择 “参数配置 ”功能后，系统显示如下：注注意意： 配置后的参数，转入工作状态后才能生效，也才能保存在设备内部。5 5. .1 1网网络络配配置置使用 密码机 的以太网接口前，需对其进行网络配置，密码机 的以太网接口支持TCP/IP 协议。密码机 网络配置菜单选择如下：密码机 网络配置包括以下功能： 设

16、置 密码机 IP 地址和服务端口； 防火墙配置。选择网络配置菜单后，系统显示如下：确认参数配置网络配置- 15 -选择 “设置 密码机 IP 地址 ”可以设置 密码机 IP 地址、子网掩码及 TCP 服务端口；选择 “防火墙及网关配置 ” ，可以设置 密码机 缺省网关，及允许访问 密码机 的主机 IP 地址及 MAC 地址 。5 5. .1 1. .1 1设设置置 密密码码机机 I IP P 地地址址和和服服务务端端口口设置 密码机 IP 地址菜单选择如下图所示：密码机 使用的是 TCP/IP 标准是 IPV4，设置 密码机 IP 地址，需配置以下三个参数： 密码机 IP 地址； 子网掩码；

17、密码机 端口号密码机 支持显示当前 IP 地址功能。选择设置 密码机 IP地址后，系统自动显示当前设置的IP 地址、子网掩码和服务确认确认设置密码机IP 地址网络配置参数配置- 16 -端口。配置时，如需改动配置，先按“取消 ”功能键，删除当前设置，配置新的参数值。选择设置 密码机 IP 地址菜单后，系统显示如下：设置 密码机 IP 地址步骤如下：1) 按上图所示选择设置 密码机 IP 地址菜单；2) 配置 密码机 IP 地址时，分四段按顺序注入。注完一段后，如果该段有3 位，则自动跳至下一段；如果不足 3 位，则按向右键 “” ，系统转至下一段开始录入。3) 注入 IP 地址后，系统自动转到

18、子网掩码注入，进行子网掩码注入。注意：密码机 IP 地址与主机 IP地址使用相同 子网 掩码。4) 注入子网掩码后，系统自动转到服务端口注入，进行密码机 服务端口 注入 。此时，按 “确认 ”键，完成网络配置。5) 配置完 成后，系统自动返回网络配置主菜单。一台密码机只支持一个IP 地址，新配置的IP 地址，将- 17 -自动覆盖以前配置。注注意意： 密码机的 IP 地址不能设置成1 网段 ，因为 1 网段地址为控制使用，设置密码机IP 时，请设置成其他网段。5 5. .1 1. .2 2防防火火墙墙及及网网关关配配置置密码机 内置有防火墙，缺省状态是禁止所有主机的访问，只有系统管理员设置允许

19、访问 的主机地址 和 MAC 地址 后，才可以访问 密码机 。配置好 密码机 的 IP 地址与服务端口后，必须进行防火墙配置，将需访问密码机 的主机 IP 地址 和 MAC地址 添加在防火墙中。密码机 防火墙配置提供以下功能： 设置默认网关地址； 添加主机 IP 地址； 删除主机 IP 地址； 显示已添加 IP 地址。防火墙配置的菜单选择如下图所示：按上图所示选择菜单后，系统显示如下：确认确认防火墙配置网络配置参数配置- 18 -注注意意： 首次使用 密码机 时，请先利用 “删除主机 IP 地址”功能删除设定的所有IP 地址。5 5. .1 1. .2 2. .1 1 设设置置默默认认网网关关

20、地地址址密码机 支持跨网段访问功能，与密码机 不在同一网段的访问主机 ，可以经过网关转发数据报文访问密码机 。缺省时密码机 不启动网关配置，启动 密码机 的网关配置，需利用“设置默认网关地址 ”功能将网关地址输入 密码机 中。设置默认网关地址的菜单选择如下图所示：选择设置默认网关地址后，系统显示如下：输入网关地址后，按 “确认 ”键，系统返回防火墙及网关配置主界面。如果在 密码机 中已经配置有网关地址，则选择菜单后，系统自动显示网关地址，要修改网关地址，需先按“取消 ”键，再输入正确的网关地址。确认确认防火墙配置网络配置参数配置设置默认网关地址确认- 19 -如果要删除以前添加的网关地址，选择

21、菜单后，先按“取消 ”键，再输入 000.000.000.000 的网关地址。5 5. .1 1. .2 2. .2 2 添添加加主主机机 I IP P 地地址址添加主机 IP 地址菜单选择如下图所示：选择添加主机 IP 地址菜单后系统显示如下：添加主机 IP 地址的步骤如下：1) 按上图所示选择添加主机IP 地址菜单；2) 分四段注入 IP 地址；3) 注入完按 “确认 ”键， 分六段输入对应主机的MAC地址；4) 注入完按 “确认 ”键，主机信息添加到 密码机 中5) 继续添加其他主机IP 地址；6) 全部 IP 地址添加成功后，按 “返回 ”功能键，系统确认确认防火墙配置网络配置参数配置

22、添加主机IP 地址确认- 20 -返回网络配置主菜单。5 5. .1 1. .2 2. .3 3 删删除除主主机机 I IP P 地地址址当发现添加的主机IP 地址输错或以前使用的IP 地址不再使用，请使用 “删除 IP”功能删除已添加的IP 地址。删除主机 IP 地址菜单选择如下图所示：选择菜单后，系统显示如下：在删除主机 IP 地址时，系统自动显示已添加的主机地址，通过使用向上键和向下键/，可以检查所有添加的主机地址。当出现要删除的主机地址时，按确认键删除。检查完毕，按返回键，返回系统配置主菜单。所有主机 IP 地址都被删除或未添加主机时，系统显示如下：确认确认防火墙配置网络配置参数配置删

23、除主机IP 地址确认- 21 -5 5. .1 1. .2 2. .4 4 显显示示添添加加的的主主机机I IP P 地地址址利用 密码机 提供的 “显示添加的 IP 地址 ”功能，可以浏览密码机 主机地址库中添加的所有主机IP 地址。显示添加的主机IP 地址菜单选择如下图所示：按上图所示选择显示已添加主机IP 地址后，系统将显示所有主机 IP 地址，当一屏显示不下时，可以通过方向键使系统滚动显示。如图所示：查看完毕，使用 “返回 ”键，系统自动返回网络配置主菜单。6 6 进进入入交交易易状状态态退回到主界面，选择进入“交易处理 ”界面，如图所示，说明密码机已进入交易处理状态，该状态也可以通过

24、系统功能的信息查询 选项查询 到。确认确认显示添加的IP 地址网络配置参数配置- 22 - 23 - 24 -附附录录 A A 注注意意事事项项1)请勿带电插拔 密码机 电缆，以免损坏接口。2)处于交易处理状态下的密码机重新上电后，听到“嘀。 。嘀。 。 。 。 ”提示 音后插入开机 USBKey 直接进入交易处理状态；如果需要修改交易处理状态下密码机的参数，则应遵循以下操作顺序：密码机控制口网线连接控制端计算机、密码机上电、 确认控制端计算机与密码机连通（参见本手册4.4） 、打开控制台软件、听到密码机“嘀。 。 。嘀。 。 。 。 ”提示 音后插入开机 USBKey 进入主界面 、修改参数

25、 。3)根据 相关 部门规定，密码设备不得擅自开启。密码机设计时带有开箱自毁装置，请勿自行打开密码机 机箱，以免密码机 启动自毁程序。4)正常 使用的 密码机 在运行过程中出现故障后，首先按照附件 B 中的常见故障判断和处理，无法自行处理的，在联系我公司的技术支持后，需要将设备返厂处理时应先毁钥再发货。密码机在正常运行过程中，请谨慎使用毁钥功能。第一次配置 IP 地址时，先删除所有旧的主机地址，再进行地址配置。5)严格控制添加的主机IP 地址，严禁将不需访问 密码机的主机 IP 地址添加至 密码机 。注：对违反上述要求，造成密码机 故障或其他事故，我公司不承担责任。- 25 - 26 -附附录录 B B 常常见见硬硬件件故故障障识识别别与与排排除除本书不是 密码机 维修手册，本部份内容主要是便于用户正确识别 密码机 故障现象，以共同促进我单位 产品和服务质量，当密码机 出现故障时，不提倡用