SJL05金融数据加密机用户手册(共41页).doc

《SJL05金融数据加密机用户手册(共41页).doc》由会员分享，可在线阅读，更多相关《SJL05金融数据加密机用户手册(共41页).doc（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上SJL05金融数据加密机成都卫士通信息产业股份有限公司1.00专心-专注-专业目 录1产品概述12设备清单13产品介绍23.1主要功能23.2技术指标43.3密码体制43.4工作方式43.5兼容标准43.6环境要求43.7物理特性54设备安装54.1安装条件54.2密码机示意图54.3密码机硬件安装方法64.4控制台终端管理程序安装方法75控制台终端操作85.1基本信息85.1.1版本查看85.2参数设置95.2.1打印端口配置95.2.2交易端口配置105.2.3特殊授权控制115.2.4设置通信格式125.3网络配置135.3.1安全访问设置135.3.2设置密码

2、机IP地址175.3.3设置密码机路由205.4密钥管理235.4.1密钥注入235.4.2本地主密钥校验值325.4.3密钥备份恢复325.5密钥产生345.5.1随机密钥345.6口令和令牌管理355.6.1key操作355.7恢复出厂设置375.7.1销毁密钥37附录A 密码机提示音381 产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。鉴定委员会一致认为：“SJL05金融数据加密机设计合理

3、，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值”。SJL05在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代Racal、Atalla等国外加密设备的首选国内产品。SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能，主要用于各地金融信息系统，尤其是对进行跨行交易的ATMPOS联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据的

4、通信服务，防止网上的各种欺诈行为发生。 加密机属于敏感的电子设备，安装和使用SJL05前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。2 设备清单请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系；名称数量SJL05金融数据加密机壹台直通以太网线(灰色)两根交叉以太网线(蓝色)两根产品合格证壹张装箱清单壹张电源线壹根用户手册壹本用户Key陆个光盘壹张注：本清单仅提供参考，具体以包装箱中的装箱清单为准。3 产品介绍3.1 主要功能SJL05主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、邮

5、电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。SJL05在金卡网络中的配置如下图所示：SJL05支持如下功能： 由硬件完成数据加解密 对PIN的加/解密、验证及转发 消息来源正确性验证（MAC）的产生、验证及转发 交易正确性验证（TAC）的产生、验证 PVV、CVV计算和验证等利用SJL05能有效防止通信信道上的主动攻击行为。在金融网络中，线路上传输的所有数据全是经加密机加密后的密文，明文只在加密机内部出现，所有的密钥也保存在加密机内部，可有效防止内外部人员的攻击。(1)顾客输入私人密钥发卡行金卡中心收卡行POSATM(6)(2)(4)

6、(3)(5)(7)下面以有中心模式的跨行交易中个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：PIN在ATM/POS跨行交易的流程其中： 顾客输入私人密码 传送被ATM/POS加密的私人密码 收卡行转换私人密码 传送被收卡行加密的私人密码 交换中心转换私人密码 传送被交换中心转换后的私人密码 发卡行校验私人密码3.2 技术指标3.3 密码体制 完整的安全保密体系结构 支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法 CBC加密方式同时实现保密性与完整性

7、 完善的密钥管理系统3.4 工作方式 Ethernet：10M/100M/1000M自适应 TCP/IP3.5 兼容标准SJL05完全兼容以下标准: ANSI X3.92 数据加密算法 ANSI X9.9 信息鉴别 ANSI X9.8 PIN的管理与安全 ANSI X9.17 密钥管理 ANSI X9.19 零售金融信息的鉴别 多种ATM机用户密码格式 中国人民银行金融IC卡规范（PBOC规范）3.6 环境要求 工作温度：040 存贮温度：4055 相对湿度：20%80% 电压：220V10%, 50Hz3%3.7 物理特性 外 型：卧式机箱； 体积尺寸：430 mm400mm 88 mm 整

8、机净重：8Kg4 设备安装4.1 安装条件安装密码机前，请确认满足以下条件：1. 接收设备与装箱清单明细对应且完好无损；2. 密码机电源开关处于断开位置；3. 一台安装有WINDOWS系统的PC机；4. 确保输入电源电压稳定在220V10%范围内。4.2 密码机示意图BA密码机前面板如下图所示：DGFEC图1 前面板示意图A： LOGO B：设备名称 C： 电源指示灯 D： 状态指示灯 E： USB1 F： USB2 G： 控制口LKJIHGFEDCBA图2 后面板示意图A： 电源插座B： 电源开关C： 电源风扇 D： 触发开关E： 串口（打印口）F： USB口G： 散热孔H： 网口I： 机箱

9、锁J： 加密卡K： 毁钥孔L：接地柱4.3 密码机硬件安装方法1. 将密码机放在机柜里，并固定；2. 连接通信线缆。TCPIP通信接口：将随机提供的网线一端与密码机背后的ETH1连接，另一条网线与密码机的ETH4连接。网线的另一端插入集线器交换机或者是主机提供的以太网口。注意，如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应使用交插网线。确认电源开关处于断开状态后，连接电源线。注意：如果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用，可能损坏设备或缩短使用寿命。3. 打开电源开关。此时前面板的电源状态灯红色，打开触发开关。4. 约数秒钟后，系统检测加密机状态，

10、并开始加载系统，状态指示灯红色。5. 系统加载完毕后，密码机一声长响，状态指示灯橙色，此时表明系统已加载完毕。密码机间隔1秒长响一声，可插入开机key，初次启动连接控制台终端，根据提示插入开机KEY，插入KEY后开机认证，进入维护状态，可以通过控制台管理密码机，并随时可以选择进入工作状态（或者直接进入工作状态）。4.4 控制台终端管理程序安装方法控制台终端管理程序是应用于SJL05金融数据加密机的一个终端控制台应用程序，用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处理前的配置和管理。该软件需要运行在win2k/xp的操作系统中，支持TCP/IP通信方式对密码机进行远程控制操作。

11、安装：运行安装光盘中的 “Setup.exe”,安装控制台终端管理。运行方式：安装控制台终端管理的PC机连通密码机ETH4网口，ETH4网口IP地址192.168.1.1，点击应用程序图标终端管理程序.exe，程序显示下图所示初始化界面：图3. 图4. 管理终端主界面主界面中包含有七个功能标签页，分别为:基本信息、参数设置、网络配置、密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。5 控制台终端操作5.1 基本信息5.1.1 版本查看在控制台终端管理程序的主菜单中，启动后的缺省页面即是“版本查看”。其中显示了密码机的当前版本。图5版本查看5.2 参数设置参数设置是对打印端口和授权控制进行配置

12、。5.2.1 打印端口配置选择打印端口的类型，如果是端口类型为串口则还需要选择串口号；设置是否启动打印。对设置做出修改后点击“确定”提交设置。注意：注入银行专有密钥或IC卡注入密钥时，系统会停止打印服务，操作完成后需要在此处手动启动打印。图6打印端口配置5.2.2 交易端口配置在该页面设置交易端口。图7交易端口配置5.2.3 特殊授权控制对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制，勾选需要授权的选项点击“确定”提交设置。图8特殊授权控制5.2.4 设置通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设置，设定完以后点击“确定”按钮提交。图9设置通信格式5

13、.3 网络配置网络配置主要对密码机的IP、安全访问控制、路由信息进行配置。5.3.1 安全访问设置安全访问设置功能制定针对客户机的访问策略。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态，信息如下图所示。图10安全访问设置5.3.1.1 添加安全访问类型点击按钮添加安全访问类型，窗口如下图所示，在窗口中选择要设置的安全访问控制类型，可选择对“多台主机”、“单台主机”进行设置，点击确认后完成添加。图11对多台主机增加访问控制的IP地址图12对单台主机增加访问控制的IP地址5.3.1.2 编辑选择列表中要编辑的项，点击按钮进行编辑，窗口如下图所示，在源地址中输入要访问

14、加密机的IP地址，在目的地址中输入加密机IP地址。图13编辑安全访问IP5.3.1.3 删除选择列表中要删除的规则，点击按钮删除该规则，窗口如下图所示图14删除安全设置记录5.3.2 设置密码机IP地址设置密码机IP地址。正常的规则都标记为，编辑过或是新加入的规则都会标记为，提交失败的规则都标记为。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。图15设置加密机IP地址5.3.2.1 添加点击按钮添加新规则图16添加接口5.3.2.2 编辑选择列表中要编辑的项，点击按钮进行编辑图17编辑接口5.3.2.3 删除选择列表中要删除的项，点击按钮删除该规则 图18删除接

15、口5.3.3 设置密码机路由密码机路由功能修改密码机的路由表。改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。图19设置加密机路由5.3.3.1 添加点击按钮添加新规则图20添加加密机路由5.3.3.2 编辑选择列表中要编辑的项，点击按钮进行编辑图21编辑加密机路由5.3.3.3 删除选择列表中要删除的项，点击按钮删除该规则图22删除加密机路由5.4 密钥管理密钥管理主要包括“密钥注入”、“密钥备份恢复”两大功能。5.4.1 密钥注入根据用户输入的密钥分量注入各种密钥。5.4.1.1 本地主密钥运行终端管理程序，选择密钥管理中的“本地主密钥”。“本地主密钥”主界面

16、如图所示。依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图23密钥分量1图24密钥分量2图25密钥分量3图26注入密钥成功5.4.1.2 区域主密钥运行终端管理程序，选择密钥管理中的“区域主密钥”。“区域主密钥”主界面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”

17、。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图27密钥分量1图28密钥分量2图29密钥分量3图30密钥注入成功5.4.1.3 终端主密钥运行终端管理程序，选择密钥管理中的“终端主密钥”。“终端主密钥”主界面如图所示。选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。如果同一密钥分量的两次输入一致则“CheckValue”文本框

18、会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图31密钥分量1图32密钥分量2图33密钥分量3图34密钥注入成功5.4.1.4 Key注入密钥选择密钥管理中的“key注入密钥”。主界面如下图所示。选择需要的“密钥类型”，依次输入“分量个数”、“密钥分量1口令”。如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。当完成最

19、后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。图35key注入密钥5.4.2 本地主密钥校验值图36 本地主密钥校验值5.4.3 密钥备份恢复备份密码机中所有密钥对到USB-Key中或从USB-Key中恢复密钥到密码机。5.4.3.1 备份密钥选择密钥类型，点击“备份密钥”选择钮切换到“备份密钥”功能，在“口令”和“确认口令”中输入一致的密码，把USB-Key插入到密钥机中，点击“备份” 按钮开始备份操作。图37备份密钥5.4.3.2 恢复密钥选择密钥类型，点击“恢复密钥”选择钮切换到“恢复密钥”功能，在“口令”中输入密码，把USB-Key插入到密钥机中

20、，点击“恢复” 按钮开始恢复操作。图38恢复密钥5.5 密钥产生5.5.1 随机密钥运行终端管理程序，选择密钥管理中的“随机密钥”。“随机密钥”主界面如下图所示。首先，选择“密钥长度”，然后在“其它选项”中选择相应选项，点击“确定”开始产生随机密钥，产生成功后相应的文本框中会显示密钥相关信息。若密钥分量值设定大于1，则每点击“确定”按钮一次，产生一个对应的密钥数据信息。图39随机密钥最后，点击“完成”结束操作。5.6 口令和令牌管理5.6.1 key操作初始化开机Key或修改备份Key口令。key操作主界面如下图所示。5.6.1.1 初始化Key点击“初始化Key”按钮切换到“初始化Key”功

21、能，选择Key类型，点击“初始化” 按钮开始初始化操作。执行初始化Key操作后，必须重新启动加密机。图40 key初始化操作5.6.1.2 修改备份Key口令点击“修改备份Key口令”按钮切换到“修改备份Key口令”功能,在“旧口令”中输入Key的原有口令，在“新口令”和“确认新口令”中输入一致的新口令，点击“修改”按钮开始修改操作。图41修改备份key口令5.7 恢复出厂设置5.7.1 销毁密钥第一次使用时，请先设置毁钥口令，初始“旧口令”为空。输入毁钥“旧口令”和“新口令”，点击“修改”，便可完成毁钥口令修改。输入毁钥口令，点击“毁钥”按钮，完成毁钥；图42销毁密钥附录A 密码机提示音提示音内容一声长音插入KEY(IC卡)或换KEY(IC卡)两声短音KEY(IC卡)操作成功四声短音KEY(IC卡)操作失败一声长音一声短音换KEY(IC卡)