加密机使用手册.doc

加密机使用手册.doc

《加密机使用手册.doc》由会员分享，可在线阅读，更多相关《加密机使用手册.doc（28页珍藏版）》请在冰豆网上搜索。

SHJ0902加密机使用手册

广州江南科友科技股份有限公司

2010-01

目录

第一章支付服务密码机简介 4

1.1 密码机的功能 4

1.2 密码机的技术特点 4

1.3 密码机的技术指标 5

1.4 密码机的外形结构 5

第二章支付服务密码机的使用 6

2.1 密码机的配套清单 6

2.2 密码机的安装 7

2.2.1 安装步骤 7

2.2.2 密码机的初始化 7

2.2.3 注入密钥 7

2.3 密码机各部分的说明 8

2.3.1 IC卡插座 8

2.3.2 密钥销毁锁 8

2.3.3 机仓后部的锁 8

2.3.4 蜂鸣器 8

2.4 密码机的接口 8

2.5 注意事项 9

第三章密钥管理哑终端使用说明 10

3.1使用说明 10

第四章加密机配置 11

4.1设置加密机IP 11

4.2查看、添加和删除客户端IP 11

4.3设置加密常用设置 12

4.4查看加密机IP地址、网关和子网掩码 12

第五章超级管理员，管理员和维护权限 13

5.1加密机权限分类 13

5.2进入相应管理权限状态 13

5.3超级管理员，管理员以及维护员的权限。

13

5.3.1超级管理员权限 13

5.3.2管理员权限 13

5.3.3维护员管理员权限 14

5.5制作三种权限卡 14

5.5.1IC卡的格式化 14

5.5.2超级管理员卡的制作 15

4.5.3管理员权限卡的制作 17

5.5.4维护员权限卡的制作 18

第六章密钥注入 19

6.1加载主密钥 19

6.2注入功能密钥 20

6.2.1产生随机的功能密钥 20

6.2.2产生密钥命令FK。

21

6.2.3明文分量类索引密钥注入 22

附录 24

附录1所有终端命令功能表 24

附录2LMK表 25

附录3密钥类型表 27

第一章支付服务密码机简介

支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。

此密码机设计可靠，结构合理，使用方便，外型美观。

1.1密码机的功能

支付服务密码机是金融网络安全系统的重要组成部分之一，主要的功能是实现对网络上传输的信息进行保护或鉴别，以保证金融信息的正确性，能够有效防止对通信数据的非法窃取或篡改。

1.2密码机的技术特点

ü用于TCP/IP协议。

ü所有密钥库的自动维护功能，包括密钥的产生、分发、注入和销毁。

支持哑终端密钥管理方式。

ü密码机具有完善的密钥保护功能，即使掉电,也能保护好密钥不被丢失；另外还有非法操作时的密钥销毁功能。

ü具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复。

ü可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有完善的人机交互界面。

1.3密码机的技术指标

接口方式：

RJ/45及RS—232

传输速率：

10M/100M/1G自适应

工作电压：

~220V±25％、50HZ

功耗：

85W

可靠性：

MTBF>40,000h

1.4密码机的外形结构

图一：

密码机前视图说明

１、IC卡插座

此处是管理密码机的IC卡的插入口

２、密钥销毁锁

紧极时可销毁密钥

３、电源灯

当密码机接通电源时，电源灯亮

４、工作灯

当密码机正进行加、脱密等安全处理时，加密灯亮

５、报警灯

当密码机处于非正常状态时，报警灯亮，并伴有报警声

图二：

密码机后视图说明

1、电源开关按钮控制对密码机的电

2、交流电源插座

3、机仓后锁

技术人员由此打开机箱维护密码机（用户请勿私自打开，否则可能造成严重后果）

4、RS-232C9芯插座2

5、TCP/IP接口2

6、TCP/IP接口1

7、并口（接并口打印机用）

8、RS-232C9芯插座1

第二章支付服务密码机的使用

2.1密码机的配套清单

Ø密码机一台

Ø使用说明书一本

Ø220V交流电源线一根

ØIC卡一套（6张）

Ø串口线一根

2.2密码机的安装

2.2.1安装步骤

第一步 密码机通过TCP/IP接口与主机连接，即可进入生产环境。

第二步 固定好线缆的两端，以保证其良好的接触和安全。

第三步 接上220V的交流电源线，打开密码机交流电源开关。

2.2.2密码机的初始化

在哑终端上进行如下初始化（连接方法见第3章）：

为密码机分配IP地址、网关及子网掩码；为密码机分配一个通信端口；为密码机分配一个客户；为密码机设置PIN长度、消息头长度、字符编码等。

2.2.3注入密钥

密码机在使用之前应先注入密钥。

如果没有注入密钥，密码机起动后会报警。

在哑终端上进行如下操作：

（方法见第3章）

完成密码机三张超级权限卡的制作，再从三张超级权限卡中导入主密钥三个成份，在密码机中自动合成主密钥。

2.3密码机各部分的说明

2.3.1IC卡插座

密码机采用推推式IC卡座。

将密码机专用卡的触片面向上、向前，按照IC卡上标示的方向，对准插座方向适当用力推入即可操作，再轻推一下即可弹出，此时才可以拔出IC卡。

2.3.2密钥销毁锁

用于销毁密钥。

销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1秒后密钥销毁。

2.3.3机仓后部的锁

用来固定机仓。

2.3.4蜂鸣器

密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中给予声音提示。

2.4密码机的接口

密码机有3个接口：

2个以太网口，1个串口。

2.5注意事项

密码机必须注入密钥才能正常工作。

严禁带电打开密码机的机仓和拨/插通信线缆。

严禁强电流、高电压对密码机的冲击。

密码机不能正常工作时，请填好保修单，及时与供应商联系，以便进行检查、维修。

若IC卡损坏，严禁随便丢弃，必须交还给配发单位，由配发单位统一处理。

第三章密钥管理哑终端使用说明

3.1使用说明

打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1端口（CONSOLE端口）。

连接方法：

用哑终端连接线缆连接PC机的串口和密码机的COM1端口。

测试过程中用PC机上Windows自带的“超级终端”软件，模拟哑终端。

在Windows桌面环境下依次点击：

开始à所有程序à附件à通信à超级终端，运行“超级终端”。

超级终端设置：

9600bps、8位数据位、1位停止位、无奇偶校验位。

第四章加密机配置

4.1设置加密机IP

超级终端与加密机连接好，在HSM-AUTH3>提示符下执行list命令，将会显示加密机自带的所有终端命令：

aacnacyadbccardcardkeyccchcheckcheckkeyckclearallkeyclscopycpcsctcvdesecfcfkgchelphistoryipivkakbkekeykgkilistlkloloadmkloadtestkeyltkmkmkadministermksupermkworkerportprinterprtpvpwqhqprandrcrebootrenewsfverwk

在HSM-AUTH3>提示符下执行IP命令：

HSM-AUTH3>ip

EnterIPaddress:

10.8.2.8

EnterDefaultGateway:

10.8.2.254

EnterSubnetmask:

255.255.255.0

按回车键，加密机IP设置成功。

4.2查看、添加和删除客户端IP

在HSM-AUTH3>提示符下执行ct命令:

1.192.168.1.244

2.200.200.200.244

Addaclient/Deleteaclient/deleteallClients[A/D/C]:

选择A、D、C完成客户端IP的添加和删除。

4.3设置加密常用设置

在HSM-AUTH3>提示符下执行ch命令:

该命令功能设置PIN长度，消息头长度，打印方式以及字符编码方式。

HSM-AUTH3>ch

PinLength[4-12]:

6

MessageHeaderLength[0-99]:

0

PrinterResponse[1-2]:

1

Ascii/Ebcdic/IBM5250[A/E/I]:

A

Password/Clear[P/C]:

P

4.4查看加密机IP地址、网关和子网掩码

在HSM-AUTH3>提示符下执行qh命令：

当执行qp后，加密机输出如下信息：

HSM-AUTH3>qp

IPaddress:

10.8.2.8

DefaultGateway:

10.8.2.254

Subnetmask:

255.255.255.0

第五章超级管理员，管理员和维护权限

5.1加密机权限分类

由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置，从安全方面考虑，加密机管理权限分3种：

超级管理员，管理员以及维护权限。

不同权限身份的管理人员对加密机执行的操作不同。

5.2进入相应管理权限状态

当用超级终端连接加密机时，默认的是维护管理员权限，如果要进入超级管理员和管理员全选，需要执行终端命令a，按照提示插入IC卡，输入IC卡口令的过程中，加密机会计算出IC中的校验值与密码机中存储的校验值做比较，然后进入相应的管理权限状态。

5.3超级管理员，管理员以及维护员的权限。

5.3.1超级管理员权限

超级管理员拥有最高权限，能执行所有的终端命令。

（终端命令功能见附录1）

5.3.2管理员权限

管理员权限能执行加密了提供的大部分终端命令，权限如下：

a，b，c，card，cc，ch,check,ckeckkey,ck,cls,ct,cv,des,ec，fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port,printer,prt,pv,pw,qh,qp,rand,rc,ver,wk,history

5.3.3维护员管理员权限

维护员权限很低，只能执行仅有的几条终端命令，权限如下：

a,card,check,checkkey,des,history,qh,qp,rand,rc,ver

这些终端命令基本上是一些查看加密机相关设置的命令。

5.5制作三种权限卡

5.5.1IC卡的格式化

在制作权限卡之前，必选将IC卡格式化，格式化终端命令fc，示例如下：

HSM-AUTH3>fc

Somethinginthecard,Continue?

[Y/N]:

Y

Cardpin:

********

RetypeCardpin:

********

Enterdate[YYMMDD]:

090225

Entertime[HHMMSS]:

220000

EnterIssuerID:

0000

EnterUserID:

0000

Formatsuccess!

在格式化的过程中，对IC卡设置了密码，这个密码卡片持有人必须记住，因为在后面制作权限卡的时候会要求输入卡密码。

5.5.2超级管理员卡的制作

制作超级管理员权限卡其实也就是制作加