《《加密机使用手册》word版.doc》由会员分享,可在线阅读,更多相关《《加密机使用手册》word版.doc(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 08加密机使用手册广州江南科友科技股份有限公司范福胜2009-02-25第一章 支付服务密码机简介31.1密码机的功能41.2密码机的技术特点41.3密码机的技术指标41.4密码机的外形结构5第二章 支付服务密码机的使用72.1密码机的配套清单72.2密码机的安装7安装步骤7密码机的初始化7注入密钥82.3密码机各部分的说明8IC卡插座8密钥销毁锁8机仓后部的锁8蜂鸣器92.4密码机的接口92.5注意事项9第三章 密钥管理哑终端使用说明113.1 使用说明11第四章 加密机配置124.1 设置加密机IP124.2 查看、添加和删除客户端IP124.3 设置加密常用设置134.4 查看加密机I
2、P地址、网关和子网掩码13第五章 超级管理员,管理员和维护权限145.1 加密机权限分类145.2 进入相应管理权限状态145.3 超级管理员,管理员以及维护员的权限。145.3.1 超级管理员权限145.3.2 管理员权限145.3.3 维护员管理员权限155.5 制作三种权限卡155.5.1 IC卡的格式化15超级管理员卡的制作16管理员权限卡的制作17维护员权限卡的制作18第六章 密钥注入206.1 加载主密钥206.2 注入IC卡密钥216.3 注入功能密钥22附录1 所有终端命令功能表23附录2 LMK表25第一章 支付服务密码机简介支付服务密码机是用于银行卡网络系统的支持多进程的主
3、机节点数据密码机,直接与主机相连接,以规定的协议通讯。此密码机设计可靠,结构合理,使用方便,外型美观。1.1 密码机的功能支付服务密码机是金融网络安全系统的重要组成部分之一,主要的功能是实现对网络上传输的信息进行保护或鉴别,以保证金融信息的正确性,能够有效防止对通信数据的非法窃取或篡改。1.2 密码机的技术特点用于TCP/IP协议。所有密钥库的自动维护功能,包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。密码机具有完善的密钥保护功能,即使掉电,也能保护好密钥不被丢失;另外还有非法操作时的密钥销毁功能。具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复。可
4、以通过软件、硬件来设置、检测各部分的功能,设定系统的运行参数,具有完善的人机交互界面。1.3 密码机的技术指标接口方式:RJ/45及RS232传输速率:10M/100M/1G自适应工作电压:220V25、50HZ功 耗:85W可 靠 性:MTBF 20,000h1.4 密码机的外形结构图一:密码机前视图说明、IC卡插座此处是管理密码机的IC卡的插入口、密钥销毁锁 紧极时可销毁密钥、电源灯当密码机接通电源时,电源灯亮、工作灯当密码机正进行加、脱密等安全处理时,加密灯亮、报警灯当密码机处于非正常状态时,报警灯亮,并伴有报警声图二:密码机后视图说明1、电源开关按钮控制对密码机的供电2、交流电源插座3
5、、机仓后锁技术人员由此打开机箱维护密码机(用户请勿私自打开,否则可能造成严重后果)4、RS-232C 9芯插座1 5、TCP/IP接口16、TCP/IP接口27、并口(接并口打印机用)8、RS-232C 9芯插座2第二章 支付服务密码机的使用2.1 密码机的配套清单 密码机一台 使用说明书一本 220V交流电源线一根 IC卡一套 串口线一根2.2 密码机的安装2.2.1 安装步骤第一步密码机通过TCP/IP接口与主机连接,即可进入生产环境。第二步固定好线缆的两端,以保证其良好的接触和安全。第三步接上220V的交流电源线,打开密码机交流电源开关。2.2.2 密码机的初始化在哑终端上进行如下初始化
6、(连接方法见第章):为密码机分配IP地址、网关及子网掩码;为密码机分配一个通信端口;为密码机分配一个客户;为密码机设置PIN长度、消息头长度、字符编码等。2.2.3 注入密钥密码机在使用之前应先注入密钥。如果没有注入密钥,密码机起动后会报警。在哑终端上进行如下操作:(方法见第章)完成密码机三张超级权限卡的制作,再从三张超级权限卡中导入主密钥三个成份,在密码机中自动合成主密钥。2.3 密码机各部分的说明2.3.1 IC卡插座密码机采用推推式IC卡座。将密码机专用卡的触片面向上、向前,按照IC卡上标示的方向,对准插座方向适当用力推入即可操作,再轻推一下即可弹出,此时才可以拔出IC卡。2.3.2 密
7、钥销毁锁用于销毁密钥。销毁密钥时,先将密码机电源关闭,然后密钥销毁锁转至销毁状态,1秒后密钥销毁。2.3.3 机仓后部的锁用来固定机仓。2.3.4 蜂鸣器密码机内部还装有蜂鸣器,用于异常时报警或者在有些操作过程中给予声音提示。2.4 密码机的接口密码机有5个接口:2个以太网口,2个串口,1个并口。2.5 注意事项密码机必须注入密钥才能正常工作。严禁带电打开密码机的机仓和拨/插通信线缆。严禁强电流、高电压对密码机的冲击。密码机不能正常工作时,请填好保修单,及时与供应商联系,以便进行检查、维修。若IC卡损坏,严禁随便丢弃,必须交还给配发单位,由配发单位统一处理。第三章 密钥管理哑终端使用说明3.1
8、 使用说明打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1端口(CONSOLE端口)。连接方法:用哑终端连接线缆连接PC机的串口和密码机的COM1端口。测试过程中用PC机上Windows自带的“超级终端”软件,模拟哑终端。在Windows桌面环境下依次点击:开始所有程序附件通信超级终端,运行“超级终端”。超级终端设置:9600bps、8位数据位、1位停止位、无奇偶校验位。第四章 加密机配置4.1 设置加密机IP 超级终端与加密机连接好,在HSM-AUTH3 提示符下执行list命令,将会显示加密机自带的所有终端命令:a acn acy ad b c card cardkey c
9、c ch check checkkey ck clearallkey cls copy cp cs ct cv des ec fc fk gc help history ip iv ka kb ke key kg ki list lk lo loadmk loadtestkey ltk mk mkadminister mksuper mkworker port printer prt pv pw qh qp rand rc reboot renew sf ver wk在HSM-AUTH3提示符下执行IP命令:HSM-AUTH3ipEnter IP address:.8Enter Default
10、 Gateway:.254按回车键,加密机IP设置成功。4.2 查看、添加和删除客户端IP在HSM-AUTH3提示符下执行ct命令: 1 2Add a client / Delete a client / delete all Clients A/D/C:选择A、D、C完成客户端IP的添加和删除。4.3 设置加密常用设置 在HSM-AUTH3提示符下执行ch命令:该命令功能设置PIN长度,消息头长度,打印方式以及字符编码方式。HSM-AUTH3chPin Length 4-12:6Message Header Length 0-99:0Printer Response 1-2:1Ascii/E
11、bcdic/IBM5250 A/E/I:APassword/Clear P/C:P4.4 查看加密机IP地址、网关和子网掩码在HSM-AUTH3提示符下执行qh命令:当执行qp后,加密机输出如下信息:HSM-AUTH3qpIP address:.8Default Gateway:.254第五章 超级管理员,管理员和维护权限5.1 加密机权限分类由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置,从安全方面考虑,加密机管理权限分3种:超级管理员,管理员以及维护权限。不同权限身份的管理人员对加密机执行的操作不同。 5.2 进入相应管理权限状态当用超级终端连接加密机时,默认的是维护管理员权限
12、,如果要进入超级管理员和管理员全选,需要执行终端命令 a ,按照提示插入IC卡,输入IC卡口令的过程中,加密机会计算出IC中的校验值与密码机中存储的校验值做比较,然后进入相应的管理权限状态。5.3 超级管理员,管理员以及维护员的权限。5.3.1 超级管理员权限超级管理员拥有最高权限,能执行所有的终端命令。(终端命令功能见附录1)5.3.2 管理员权限 管理员权限能执行加密了提供的大部分终端命令,权限如下:a,b,c,card,cc,ch,check,ckeckkey,ck,cls,ct,cv,des,ec,fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,p
13、ort ,printer, prt,pv,pw,qh,qp,rand,rc,ver,wk,history5.3.3 维护员管理员权限 维护员权限很低,只能执行仅有的几条终端命令,权限如下:a,card,check,checkkey,des,history ,qh,qp,rand,rc,ver这些终端命令基本上是一些查看加密机相关设置的命令。5.5 制作三种权限卡5.5.1 IC卡的格式化在制作权限卡之前,必选将IC卡格式化,格式化终端命令 fc ,示例如下:HSM-AUTH3fcSomething in the card, Continue? Y/N:YCard pin:*Retype Car
14、d pin:*Enter dateYYMMDD:090225Enter timeHHMMSS:220000Enter Issuer ID:0000Enter User ID:0000Format success!在格式化的过程中,对IC卡设置了密码,这个密码卡片持有人必须记住,因为在后面制作权限卡的时候会要求输入卡密码。5.5.2超级管理员卡的制作制作超级管理员权限卡其实也就是往加密机输入主密钥的一个过程,在执行mksuper命令后,按照提示输入主密钥的三个分量,输入分量完成后加密机提示插入IC并输入IC卡密码,三个分量分别存储在三张IC里面,输入人员记好自己输入的分量,做好明文备份工作。加密
15、机加载主密钥执行 loadmk 命令,加密机会提示按顺序插入三张超级管理员卡,因此在制作超级管理员卡的时候必须记住IC卡的次序,且在有几台加密机的情况下必须标明每套卡与加密机的对应关系。超级管理员卡制作步骤如下所示:HSM-AUTH3mksuperRmk component 1:*Retype Rmk component 1:*Rmk component 2:*Retype Rmk component 2:*Rmk component 3:*Retype Rmk component 3:*Insert the super card1 and press ENTER.管理员权限卡的制作 将格式化
16、的IC卡插入加密机,执行 mkadminister 终端命令,加密机提示输入Card1密码,当密码输入正确后加密返回管理权限卡1的校验值,这个校验值将存入加密机,以后身份验证就是跟这个校验值有关系。 管理员权限卡的制作过程如下:HSM-AUTH3mkadministerInsert the administer card1 and press ENTER!administer card1 PIN:*Sorry,password error! remain time is 2Insert the administer card1 and press ENTER!administer card1
17、PIN:*Make administer card1 now!Please wait for .Card checkvalue:F44D424C2DD75AE9Make the administer card1 success!New Hsm Password4:*Retype New Hsm Password4:*Hsm Password4 Set Ok !Insert the administer card2 and press ENTER! 5.5.4维护员权限卡的制作 将格式化后的IC卡插入加密机,执行终端命令 mkworker,然后按加密机提示输入信息。制作过程如下:HSM-AUTH
18、3mkworkerInsert the worker card and press ENTER!worker card PIN:*Make worker card now!Please wait for .Card checkvalue:0A410D6C7702F77AMake the worker card success!New Hsm Password6:*Retype New Hsm Password6:*Hsm Password2 Set Ok ! 第六章 密钥注入6.1 加载主密钥加载主密钥后,下次重启连接PC超级终端将是维护员权限,如果加密机是加载的测试密钥,则再次重启加密机连接
19、PC超级终端将是超级管理员权限。加密机投入运行时,必须先制作超级管理员卡和装载MK。由于DES算法依靠某一个密钥进行加密,同时所有密钥和数据都经由MK进行加密,所以MK必须通过一种安全的方法生成和维护。主密钥的加载方式是:在PC的超级终端执行LOADMK命令,然后按提示插入超级管理员卡和输入密钥(超级管理员卡的制作见)。注意:插入超级管理员卡必须按制卡顺序插入IC卡。加载主密钥的步骤如下:HSM-AUTH3loadmkInsert the super card1 and enter card1 Pin:*New Hsm Password1:*Retype New Hsm Password1:*
20、Hsm Password1 Set Ok !component 1 checkvalue:82E13665B4624DF5Insert the super card2 and enter card2 Pin:*New Hsm Password2:*Retype New Hsm Password2:*Hsm Password2 Set Ok !component 2 checkvalue:00962B60AA556E65Insert the super card3 and enter card3 Pin:6.2 注入IC卡密钥 加密机能存放1048把IC卡密钥,密钥索引号(Key index)最
21、大为1047。密钥的灌入步骤大致是:在PC的超级终端输入Key命令-选择密钥长度-输入索引号-选择密钥分量-输入密钥明文,然后加密机返回密钥的密文和校验值。注入IC卡密钥示例如下:HSM-AUTH3keyKey length 64/128 1/2:2Key index:000Enter number of Components (2-9):2Enter component1:*Enter component2:*Key check value:8CA64DE9C1B123A76.3 注入功能密钥功能密钥的注入是通过PC超级终端执行ec或者gc终端命令生成,ec终端命令是明文输入产生密钥,gc命
22、令是随机产生指定的功能密钥。LMK表见附录2HSM-AUTH3gcKey length 1/2/3:2Key type :001Clear Component:16EC6215E6B30B892AB3AB79021937C2Encrypted Component:A11ED73B46CCD10B54D680A726D3E779Key check value:BAD194B693384D99附录1 所有终端命令功能表所有终端命令的功能:终端命令功能a进入身份验证b用ZMK密文产生ZPK在LMK和ZMK下加密的密文和校验值c进入维护管理员身份acn退出授权状态acy进入授权状态card查看卡片校验
23、值cardkey读或者写传输卡history显示前面所执行的所有终端命令check查看加密机主密钥校验值checkkey查看加密机IC卡密钥校验值Clearallkey=cls不经任何提示删除加密机所有密钥(慎用)ec输入密钥明文经加密机加密后输出密文和校验值(输入密钥类型和明文的时候是不可见的)kg输入ZMK密文,产生各类型密钥并在LMK和ZMK下加密fk以明文或者密文方式产生各类(64/128/192)密钥gc随机数生成各种密钥,并输入密钥明文和密文以及校验值rand产生随机密钥并输出校验值Ka随机产生PVK和CVK的A,B两部分在LMK下加密的密文和校验值kb将pvk和cvk的A,B两部
24、分从LMK加密转换到ZMK下加密,并输出校验值ivpvk和cvk的A,B两部分从ZMK加密转换到LMK下加密,输出密文和校验值ck根据密钥密文计算校验值pv产生pvvke将密钥从LMK加密转到ZMK加密ki将密钥从ZMK下加密转到LMK下加密key以分量方式产生(64或128)索引下的密钥lk=laodmk加载主密钥ltk=loadtestkey加载测试密钥MK输入主密钥并导入IC卡pw更改HSM和IC的pinrc输入密码是不显示输入域,查看卡片信息wk制作维护权限卡fc格式化IC卡(在做身份认证卡前必须先格式化IC卡)fk用密钥明文或者密文合成所需要的功能密钥ad制作管理员权限卡qh查看加密
25、机的常用设置qp查看加密机IP和网关以及子网掩码ver查看加密机版本信息reboot重启加密机printer设置加密机打印方式cc设置加密机波特率和报文头长度ch设置加密机常用设置(pin长度,消息头,打印方式,通讯编码)desdes加密,用来计算密钥加密数据得出密文ct查看客户端ip和添加(删除)客户端IP;附录2 LMK表LMK对功能00-01包含两个需要用来将HSM设置为授权状态的智能卡“密钥”(如果HSM设置为密码模式则为密码)。02-03加密保存在主机存储域内的PIN。04-05加密区域主密钥(ZMK)和双倍长度的区域主密钥(ZMK)。加密变量下区域主密钥的成份。06-07为互换交易
26、而加密区域PIN密钥(ZPK)。08-09用于生成随机数。10-11用于加密存储在HSM缓冲器中的密钥。12-13用户创建秘密值的初始设置;用于生成所有的其它主密钥对。14-15加密终端主密钥(TMK),终端PIN密钥(TPK)和PIN校验密钥(PVK)。加密变量下的卡确认密钥(CVK)。16-17加密终端认证密钥(TAK)。18-19加密请求信封的参考数。20-21加密不用的变量下的PIN校验密钥(PVK)和卡确认密钥(CVK)。22-23加密口令密钥。24-25加密区域传送密钥(ZTK)。26-27加密区域认证密钥(ZAK)。28-29加密终端推导密钥(TDK)。30-31加密区域加密密钥(ZEK)。32-33加密终端加密密钥(TEK)。34-35加密RSA密钥。36-99为将来保留。为了匹配特殊的要求,有一些密钥存在变量24