三未信安效劳器密码机用户技术手册v.docx
- 文档编号:4986537
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:31
- 大小:707.91KB
三未信安效劳器密码机用户技术手册v.docx
《三未信安效劳器密码机用户技术手册v.docx》由会员分享,可在线阅读,更多相关《三未信安效劳器密码机用户技术手册v.docx(31页珍藏版)》请在冰豆网上搜索。
三未信安效劳器密码机用户技术手册v
三未信安效劳器密码机
用户技术手册
北京三未信安科技进展
欢迎利用三未信安效劳器密码机
Copyright(c)2010sansec
版权所有
本出版物的内容将做不按期性的变更,且可不能另行通知。
更改的内容将可不能补充到本出版物。
且会在本手册发行新版本时予以付梓印刷。
本公司不做任何明示或默许担保,其中包括本手册的内容的适售性或符合特定利用目的的默许担保。
本公司依中华人民共和国高作权法,享有及保留一切高作之专属权利,未经北京三未信安科技进展事前书面同意,不得对本手册有增删、改编、翻印、改造或仿造的行为。
北京三未信安科技进展
2011年7月
1产品介绍
1.1产品简介
三未信安效劳器密码机(以下简称密码机)是由北京三未信安科技进展自主研发的高性能密码设备,能够适用于各类密码平安应用系统进行高速的、多任务并行处置的密码运算,能够知足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性、完整性和有效性,同时提供平安、完善的密钥治理机制。
密码应用系统通过挪用密码机提供的标准API函数来利用密码机的效劳,密码机API与密码机之间的挪用进程对上层应用透明,应用开发商能够快速的利用密码机所提供的平安功能。
密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口标准(试行)》标准接口标准,通用性好,能够滑腻接入各类系统平台,知足大多数应用系统的要求,在应用系统平安方面具有普遍的应用前景。
1.2产品功能
⏹RSA密钥生成与治理:
能够生成1024/2048/3072/4096位RSA密钥对,采纳由国家密码治理局批准利用的物理噪声源产生器芯片生成的随机数。
⏹ECC密钥生成与治理:
能够生成256位ECC密钥对。
⏹密钥的平安存储:
设备内可存储RSA/ECC密钥对(包括签名密钥对和加密密钥对),而且私钥部份受系统爱惜密钥的加密爱惜。
⏹数据加密和解密:
支持SM1、SM4和SSF33等国产算法的ECB和CBC模式的数据加密和解密运算,同时也支持3DES、AES等国际通用算法。
⏹消息辨别码的产生和验证:
支持基于SM1、SM4、SSF33、3DES、AES等算法的MAC产生及验证。
⏹数据摘要的产生和验证:
支持SM3、SHA-一、SHA224、SHA25六、SHA384、SHA512等杂凑算法。
⏹数字签名的产生和验证:
能够依照需要利用内部存储的RSA/ECC密钥对或外部导入RSA/ECC私钥对请求数据进行数字签名。
⏹数字信封功能:
支持基于RSA/ECC密码算法的数字信封功能,并支持由内部密钥爱惜到外部密钥爱惜的数字信封转换功能。
⏹物理随机数的产生:
采纳由国家密码治理局批准利用的物理噪声源产生器芯片生成的真随机数。
⏹用户访问权限操纵:
具有用户治理功能,提高了密码设备自身的平安性。
⏹密钥备份及恢复:
支持基于秘密共享技术的密钥的备份和恢复功能,保证了平安应用系统的平安性和靠得住性。
1.3产品特点及关键技术
⏹支持多种操作系统:
应用效劳器与密码机之间采纳TCP/IP协议进行通信,可支持多种主流的操作系统,如MSWindows系列,Linux系列,Solaris、AIX、HP-UX等Unix操作系统。
⏹支持标准接口:
密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口标准(试行)》标准接口标准,通用性好。
同时支持PKCS#1一、MS-CSP、JCE等国际标准接口。
⏹三层密钥结构:
采纳“系统爱惜密钥-用户密钥(卡内RSA/ECC密钥对/KEK)-会话密钥”的三层密钥爱惜结构,保证用户密钥及应用系统的平安性。
⏹平安密钥存储:
保证关键密钥在任何时候不以明文形式出此刻设备外,密钥备份文件也受到专用备份密钥的爱惜。
⏹支持连接密码及白名单:
通过连接密码和白名单的支持,实现了密码机对应用效劳器的授权认证,进一步提高了系统的平安性。
⏹密钥利用授权:
每对RSA/ECC密钥对对应一个授权爱惜码,以保证不同密码应用系统挪用同一台密码设备时的密钥平安性。
2大体概念
⏹设备编号:
设备标签上的产品序号,是由生产日期、生产批次、流水号组成的一串数字编号,与设备型号组合利用可唯一标识某一密码设备。
⏹设备型号:
国家密码治理机构批准利用的密码产品型号。
⏹数字信封:
一种数据的封装方式,在该方式下利用数据加密密钥爱惜数据,利用接收者加密公钥爱惜数据加密密钥。
⏹数字签名:
附加在数据上的签名数据,或是对数据所作的密码变换,用以确认数据来源及其完整性,避免被他人伪造或签发者否定。
⏹密钥部件(密钥分量):
至少两个随机或伪随机产生的、有密码密钥特点(例如,格式,随机性)的参数之一,其中密码密钥由一个或多个如此的参数组合而成。
例如,通过模2加的方式形成一个密码密钥。
⏹密钥分割:
将密钥分给多人掌管,而且必需有必然人数的掌管密钥的人同时到场才能恢复密钥。
⏹密钥加密密钥(KEK):
用于对会话密钥或文件密钥进行加密时采纳的密钥。
又称辅助(二级)密钥(SecondaryKey)或密钥传送密钥(keyTransportkey)。
通信网中的每一个节点都分派有一个这种密钥。
⏹密钥索引:
在密码设备或平安系统内表示密钥位置的数值。
⏹签名私钥:
用于签名计算的私有密钥。
⏹加密私钥:
用于实现数据保密性的私有密钥。
⏹私钥访问操纵码:
用于获取私钥利用权限的口令字。
⏹对称密钥/秘密密钥:
在采纳对称密码技术时,一组特定实体利用的密钥。
⏹会话密钥:
密钥治理中的最低一层密钥,这种密钥只在一次会话和一个受限时刻内利用,比如终端上的一次用户会话,完毕就销毁。
3快速利用指南
a)安装密码机
详细参考“4安装密码机”的“安装密码机”部份。
b)运行治理工具
详细参考“4安装密码机”的“治理密码机”部份。
c)安装向导
详细参考“4安装密码机”的“安装向导”部份。
d)治理员及操作员
详细参考“6权限治理”的“治理员治理”、“操作员治理”部份。
e)修改IC卡口令
详细参考“6权限治理”的“修改IC卡口令”部份。
f)RSA密钥治理
详细参考“7密钥治理”的“RSA密钥治理”部份。
g)ECC密钥治理
详细参考“7密钥治理”的“ECC密钥治理”部份。
h)对称密钥治理
详细参考“7密钥治理”的“对称密钥治理”部份。
i)网络配置
详细参考“5系统治理”的“查看/修改网络配置”部份。
j)启动/停止效劳
详细参考“8效劳治理”的“启动/停止效劳”部份。
k)效劳参数配置
详细参考“8效劳治理”的“修改效劳配置”部份。
l)备份与恢复
详细参考“7密钥治理”的“备份和恢复”部份。
m)销毁密钥
详细参考“7密钥治理”的“销毁密钥”部份。
4安装密码机
4.1安装密码机
a)打开密码机包装,对照“装机清单”,检查设备配件是不是齐全。
b)从包装箱中掏出密码机主机,并将设备固定到安装位置。
c)利用电源线连接电源。
d)打开密码机电源开关,启动密码机。
4.2治理密码机
a)预备一台PC机作为治理终端,利用网线连接到密码机的“网口2”或“网口”
b)修改治理终端的IP地址,与密码机IP地址为同一个网段。
密码机默许地址为:
IP地址:
子网掩码:
提示:
为避免密码机预设IP地址与现有网络中的IP地址冲突,请先采纳治理终端和密码机直连的方式修改IP地址后再接入工作或测试网络。
c)打开IE或其他网页阅读器,输入密码机IP地址,如:
。
>重要提示:
由于是基于网络的治理方式,多台治理终端可同时连接密码机,但如果是同时对密码机进行治理操作的话可能会致使不可预知的错误。
>重要提示:
若是碰到不能访问的情形,或忘记IP地址,请在用户光盘中找到《紧急保护手册》。
d)打开登录界面后,利用用户名“swhsm”登录,默许登录密码是“swxa1234”,登录后即可进行治理配置。
详细配置步骤可参考后续章节。
4.3安装向导
在第一次利用密码机,能够利用治理程序的安装向导功能,慢慢完成对密码机的大体配置。
若是需要利用其他配置功能,可参考本章节其他治理操作说明。
安装向导提供以下要紧配置功能:
a)初始化密码机:
清空所有密钥及治理信息。
点击销毁密钥按钮:
点击确信销毁密码机内的密钥信息和权限信息。
密码机初始化成功后进入增加治理员界面。
b)增加治理员:
为保证设备的平安性、靠得住性,及正常利用所有功能,建议设置3个治理员(标准配置)。
治理员IC卡默许PIN口令为,输入口令,点击增加治理员。
成功增加三个治理员后进入增加操作员界面。
c)增加操作员:
用于启动密码效劳,增加1个操作员(标准配置)。
操作员IC卡默许PIN口令为,输入口令,点击增加操作员。
成功增加操作员后进入生成RSA密钥对界面。
d)RSA密钥治理:
产生平安应用系统需要的RSA签名密钥对或加密密钥对并保留在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入生成ECC密钥对界面。
e)ECC密钥治理:
产生平安应用系统需要的ECC签名密钥对或加密密钥对并保留在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入生成对称密钥界面。
f)对称密钥治理:
产生平安应用系统需要的对称密钥并保留在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入网络配置界面。
g)网络配置:
查看或修改设备的网络配置参数。
点击“下一步”进入效劳配置界面。
h)配置效劳信息:
修改效劳启动参数。
点击“下一步”进入白名单治理界面。
i)对客户机授权:
修改效劳授权白名单,进行访问操纵。
点击“下一步”进入密钥备份界面。
j)备份密钥信息:
将密钥等重要信息加密后备份到文件中并妥帖保管。
k)重启密码机:
为确保所有设置已经生效,建议从头启动密码机。
提示:
安装向导中对网络配置和效劳配置所作的修改需要重启密码机才能生效。
提示:
从头启动密码机时请将操作员卡插入设备中。
5系统治理
5.1查看设备大体信息
可查看厂商信息、设备编号、系统版本、支持算法等信息。
提示:
利用密码机进程中碰到问题需要技术支持时,提供以上信息将会帮忙咱们更快解决问题。
5.2查看/修改设备保护信息
能够查看和修相改设备保护方面的关信息。
5.3查看/修改网络配置信息
能够查看和修改设备的网络配置参数,如IP地址、网关等。
提示:
当修改了IP地址时,点击重启网络后需要关闭当前治理窗口,从头连接到新的地址。
提示:
部份型号配备了双网口,“网口1”用于密码效劳,“网口2”用于设备治理。
5.4修改登岸口令
修改治理界面登岸时的口令。
6权限治理
6.1查看登录状态
选择“权限治理”或“用户登录”页面,即可查看当前治理员或操作的登录状态。
6.2用户登录
登录治理员或登录操作员。
在登录时请依照卡片标示的方向插入治理员口令卡并输入IC卡爱惜口令(PIN)。
>平安提示:
在出厂时所有效户卡的爱惜口令均被初始化为“”,为保证系统的平安性,请及时通过“修改用户口令”功能修改该口令。
6.3用户注销
在“用户登录”页面中有效户注销的选项,能够通过执行该功能释放治理员权限或操作员权限。
>平安提示:
在完成治理操作时,建议及时注销治理员,仅保留操作员登录状态即可正常利用密码机的密码效劳及状态监控功能。
6.4治理员治理
6.4.1增加治理员
a)选择“治理员治理”中的“添加”功能。
b)依照卡片标示的方向插入治理员口令卡。
c)输入IC卡爱惜口令(PIN),才能取得对IC卡的访问权限。
d)输入正确的口令后,即可完成新增治理员功能。
>平安提示:
该密码设备在设计时支持1到5个治理员,为保证密码设备的平安性及靠得住性,建议设置3个治理员。
>平安提示:
在出厂时所有效户卡的爱惜口令均被初始化为“”,为保证系统的平安性,请及时通过“修改用户口令”功能修改该口令。
6.4.2删除治理员
在“用户治理”页面,点击“删除”,即可完成治理员删除。
>平安提示:
当某张治理员卡丢失或以为其平安性存在隐患时,可通过“删除治理员”及“增加治理员”功能更新治理员。
6.5操作员治理
6.5.1增加操作员
依照卡片标识的方向插入操作员口令卡,并输入IC卡爱惜口令(PIN),即可完成新增操作员功能。
>平安提示:
为保证设备的可扩展性,本设备支持1个以上的操作员,但标准配置为1个操作员。
>平安提示:
在出厂时所有效户卡的爱惜口令均被初始化为“”,为保证系统的平安性,请及时通过“修改IC卡口令”功能修改该口令。
6.5.2重置操作员口令
从头设置设备内的操作员状态及登录密钥,执行该操作后目前已存在的操作员将全数失效,必需从头增加操作员。
>平安提示:
操作员不提供类似于治理员治理时单独删除某个治理员的功能,若是显现操作员卡丢失的情形,为保证平安性,在增加新的操作员前必需从头初始化操作员口令。
6.6修改IC卡口令
依照卡片标示的方向插入治理员口令卡并输入IC卡原爱惜口令和新口令,点击“修改口令”即可完成修改。
>平安提示:
在出厂时所有效户卡的爱惜口令均被初始化为“”,为保证系统的平安性,请及时通过“修改用户口令”功能修改该口令。
6.7查看权限设置表
为方便利用,能够查看各项治理操作所需要的权限对应表。
详细的权限表参考“附录B权限设置表”部份。
7密钥治理
7.1RSA密钥治理
7.1.1产生密钥对
本设备支持双密钥体制,每一个索引位置对应两对RSA密钥对,别离是签名密钥对和加密密钥对,签名密钥对要紧用于数字签名,加密密钥对一样用于数字信封或爱惜会话密钥的平安。
提示:
批量产生密钥对的时候,需要先删除所选范围内已经存在的密钥对。
提示:
不同型号的密码机可能支持的RSA算法最大模长不同,即有些型号密码机不支持3072和4096位密钥。
7.1.2删除密钥对
点击“删除”即可删除指定密钥索引位置的RSA密钥对。
7.1.3设置私钥访问操纵码
密码设备应用接口在挪用指定的RSA私钥时,必需先获取相应的私钥访问权限。
每一个密钥索引对应一个私钥访问操纵码,即同一索引位置的签名私钥和加密私钥只需要设置一次私钥访问操纵码即可。
7.2ECC(SM2)密钥治理
7.2.1产生ECC密钥对
与RSA密钥结构一样,本设备支持双密钥体制,每一个索引位置对应两对ECC(SM2)密钥对,别离是签名密钥对和加密密钥对,签名密钥对要紧用于数字签名,加密密钥对一样用于数字信封或爱惜会话密钥的平安。
提示:
批量产生密钥对的时候,需要先删除所选范围内已经存在的密钥对。
7.2.2删除ECC密钥对
点击“删除”即可删除指定密钥索引位置的ECC(SM2)密钥对。
7.2.3设置私钥访问操纵码
密码设备应用接口在挪用指定的ECC私钥时,必需先获取相应的私钥访问权限。
每一个密钥索引对应一个私钥访问操纵码,即同一索引位置的签名私钥和加密私钥只需要设置一次私钥访问操纵码即可。
7.3对称密钥治理
7.3.1产生对称密钥
该密钥是一种对称密钥,既可作为密钥加密密钥(KEK)用于爱惜会话密钥的平安,也可直接用于数据加密,通过系统分割密钥的方式保证了两种应用的独立性,可不能阻碍到数据或密钥的平安性。
具体步骤如下:
提示:
批量产生密钥的时候,需要先删除所选范围内已经存在的密钥。
7.3.2删除对称密钥
点击“删除”即可删除指定密钥索引位置的对称密钥。
7.4销毁密钥
该操作会销毁密码设备内的所有密钥及用户信息。
>平安提示:
该功能不仅用于复位密码设备的初始状态,还可用于销毁设备内的所有密钥及用户文件。
8效劳治理
8.1查看效劳状态
用户能够查看效劳的当前运行情形,包括负载和并发数等。
8.2修改效劳配置
查看或修改效劳的启动参数。
提示:
若是效劳已经启动,需要从头启动效劳或重启密码机才能生效。
8.3白名单治理
为保证密码设备的平安性,本设备支持白名单功能,用于操纵客户机的访问权限。
>平安提示:
当白名单为空时,该功能自动失效,但为了保证应用系统的平安性,不建议采纳该设置。
提示:
若是效劳已经启动,那么修改完成后必需从头启动效劳才能生效。
提示:
IP地址不支持通配符和网段,必需为独立IP。
8.4启动/停止效劳
若是还未启动效劳,能够选择“启动效劳”。
若是效劳已启动,能够按选择进行以下操作:
1.当即停止效劳:
当即终止当前效劳的所有进程。
2.从头启动效劳:
当即终止当前所有效劳,并从头启动新的效劳进程。
9备份和恢复
9.1备份密钥向导
运行备份向导,产生备份密钥并分割导出,然后对RSA私钥、ECC私钥、对称密钥的灵敏信息通过该密钥加密保留到文件中,再将备份文件从密码机下载到本地并妥帖保管。
具体步骤如下:
a)登录半数以上的治理员,取得超级治理员权限。
预备好用于保留备份密钥分量的3张治理员卡。
b)依次输出3个备份密钥分量,该进程需要插入用户卡并输入PIN口令。
c)完成密钥分量导出后,密码机遇自动将密钥等数据利用备份密钥进行加密,并备份到文件中。
d)点击“下载文件”连接,即可将备份文件下载到本地,不建议自行修改备份文件的名称。
e)完成该备份功能后将自动删除密码机端的临时备份文件。
>平安提示:
密钥备份文件和治理员口令卡必然要妥帖保管。
提示:
备份文件导出保留时不建议修改文件名,必需保证恢复上传时维持此刻的文件名称,不然将不能正常恢复。
9.2恢复密钥向导
运行恢复向导,将保留在治理员卡中的备份密钥分量合成,将备份文件中保留的密钥信息通过该密钥解密。
具体步骤如下:
a)执行密钥恢复功能,打开密钥恢复向导。
b)将备份文件上传到密码机,并确认文件名为“”。
c)找到那时备份密钥时利用的治理员口令卡,选择任意2张治理员卡,别离导入备份密钥分量,该进程需要插入治理员卡并输入PIN口令。
d)密钥恢复向导将依次恢复备份文件中保留的信息。
>平安提示:
恢复密钥进程会破坏当前密码机内的密钥信息,请确信当前密钥是不是继续利用,再决定是不是恢复到当前密码机。
提示:
导入密钥备份文件时必需保证与那时备份导出时一致,默许备份文件名称为“”。
附录A
常见问题
1.打开开关后不能加电
a)检查电源线接入是不是正常;
b)检查机箱反面电源插口隔壁的开关是不是打开;
2.如何判定密码机已经正常启动
开机后,估量十几秒或几十秒以后有“di”的一声,刚开机时的声音属于硬件自检。
3.无法连接治理终端
a)检查是不是存在密码机IP地址与其他设备冲突;
b)在治理终端利用“telnet80”命令检查是不是已经启动治理效劳;
c)是不是记错了IP地址,可通过串口治理工具进行修改,详细看到用户光盘内的《紧急保护手册》
4.开机后密码效劳未启动
a)检查是不是打开了开机自动启动效劳选项;
b)检查开机时是不是已经能够插入正确的操作员口令卡;
c)从头配置效劳启动口令;
附录B
要紧技术指标
SJJ1012
(RE5000型)
2U
SJJ1012
(RE200型)
1U
非对称算法性能
1024位RSA密钥对生成
50对/秒
5对/秒
1024位RSA签名速度
5000次/秒
1000次/秒
1024位RSA验证速度
25000次/秒
5000次/秒
256位SM2密钥对生成
350次/秒
350次/秒
256位SM2签名速度
650次/秒
650次/秒
256位SM2验证速度
180次/秒
180次/秒
对称算法性能
SM1算法加密/解密速度
110Mbps
50Mbps
AES算法加密/解密速度
110Mbps
50Mbps
物理特性
规格
2U
1U
外形尺寸(宽x深x高)
447x500x86mm
447x450x43mm
重量
13Kg
电气特性
工作电源
220V,50Hz
220V,50Hz
功耗
280W
150W
网络接口
RJ-4510/100/1000Mbx2
RJ-4510/100/1000Mb
工作协议
TCP/IP
TCP/IP
读卡器
符合ISO/IEC7816-3协议
MTBF
大于50000小时
大于50000小时
环境参数
工作温度
10℃-60℃
10℃-60℃
非凝结的工作湿度
5%-85%
5%-85%
存储温度
0℃-60℃
0℃-60℃
非凝结的存储湿度
5%-95%
5%-95%
附录C
权限设置表
管理类别
操作项
所需权限
设备管理
查看设备基本信息
查看设备运行信息
操作员权限
查看设备维护信息
修改设备维护信息
管理员权限
服务管理
启动服务
操作员权限
停止服务
操作员权限
修改服务配置
操作员权限
网络管理
重新启动网络
操作员权限
修改网络配置
操作员权限
权限管理
查看登录状态
查看权限设置表
增加第一个管理员
增加管理员
超级管理员权限
删除管理员
超级管理员权限
增加操作员
超级管理员权限
删除操作员
超级管理员权限
密钥管理
设置系统保护密钥
超级管理员权限
查看RSA密钥对状态
操作员权限
产生RSA密钥对
管理员权限
删除RSA密钥对
管理员权限
导入RSA密钥对
管理员权限
设置RSA私钥访问控制码
管理员权限
查看ECC密钥对状态
操作员权限
产生ECC密钥对
管理员权限
删除ECC密钥对
管理员权限
导入ECC密钥对
管理员权限
设置ECC私钥访问控制码
管理员权限
查看对称密钥状态
操作员权限
产生对称密钥
管理员权限
删除对称密钥
管理员权限
导入对称密钥
管理员权限
备份恢复
密钥备份
超级管理员权限
密钥恢复
附录D
平安须知
1.利用本产品前请认真阅读平安须知。
2.请遵循产品上的警告标志与说明。
3.清洁时,先拔下电源插头。
切勿利用化学清洁剂。
4.切勿将产品靠近水源、火源。
5.切勿将产品放于不稳固的推车、椅子或桌面上,以避免产品滑落而损伤。
6.利用本产品时,请留意标签上注明的电压类型。
若是您无法确信,请洽询经销商或本地电力公司。
7.请勿放置任何物品于电源线上,更勿将电源线放在出入口,以避免受到踩踏。
8.利用延长线时,请注意其电源负荷度。
插在同一延长线的电器总用电数不可超过延长线的电流负荷度。
同时,同一插座的耗电量不可超过保险丝的负荷量。
9.切勿将任何其他物品插入本产品的槽内,以避免误触电路,造成短路、起火。
同时,请勿泼洒任何液体到产品上。
10.请勿自行维修产品。
因为不妥的拆卸,可能会致使触电或其他不良后果。
因此,有任何维修问题,请联系合格技术效劳人员。
11.碰到以下状况时,请将电源插头拔掉,并寻求合格保护人员的协助:
a.电源线或插头有破损时
b.液体侵入机身时
c.依照指示操作,而产品仍无法正常运作时,您只能调整操作步骤中所提及的操纵,因为若是调整不妥,可能致使运算机受损,而且这些操纵方式需要合格的技术人员,才能将运算机恢复到原先状况
d.产品不警惕掉落地面或外壳有任何损伤时
e
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 三未信安 效劳 密码机 用户 技术 手册