sjl05金融數(shù)據(jù)加密機(jī)用戶手冊

SJL05金融數(shù)據(jù)加密機(jī)成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司目錄產(chǎn)品概述錯誤!未定義書簽。產(chǎn)品概述2設(shè)備清單錯誤!未定義書簽。3產(chǎn)品介紹錯誤!未定義書簽。主要功能錯誤!未定義書簽技術(shù)指標(biāo)錯誤!未定義書簽密碼體制錯誤!未定義書簽工作方式錯誤!未定義書簽兼容標(biāo)準(zhǔn)錯誤!未定義書簽環(huán)境要求錯誤!未定義書簽物理特性錯誤!未定義書簽4設(shè)備安裝錯誤!未定義書簽。安裝條件錯誤!未定義書簽密碼機(jī)示意圖錯誤!未定義書簽密碼機(jī)硬件安裝方法錯誤!未定義書簽控制臺終端管理程序安裝方法錯誤!未定義書簽5控制臺終端操作錯誤!未定義書簽。基本信息錯誤!未定義書簽版本查看錯誤!未定義書簽參數(shù)設(shè)置錯誤!未定義書簽打印端口配置錯誤!未定義書簽交易端口配置錯誤!未定義書簽特殊授權(quán)控制錯誤!未定義書簽設(shè)置通信格式錯誤!未定義書簽網(wǎng)絡(luò)配置錯誤!未定義書簽。安全訪問設(shè)置錯誤!未定義書簽。設(shè)置密碼機(jī)IP地址錯誤!未定義書簽。設(shè)置密碼機(jī)路由錯誤!未定義書簽。密鑰管理錯誤!未定義書簽。密鑰注入錯誤!未定義書簽。本地主密鑰校驗值錯誤!未定義書簽。密鑰備份恢復(fù)錯誤!未定義書簽。密鑰產(chǎn)生錯誤!未定義書簽。隨機(jī)密鑰錯誤!未定義書簽?？诹詈土钆乒芾韐ey操作..恢復(fù)出廠設(shè)置.銷毀密鑰.錯誤!未定義書簽。錯誤!未定義書簽錯誤!未定義書簽錯誤!未定義書簽附錄A密碼機(jī)提示音錯誤!未定義書簽。1產(chǎn)品概述SJL05金融數(shù)據(jù)加密機(jī)是由衛(wèi)士通信息產(chǎn)業(yè)股份有限公司研制的國內(nèi)第一種符合中國人民銀行金融IC卡規(guī)范(PBOC)的專用于我國“金卡工程”的基于主機(jī)的新型計算機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)加密機(jī)。該產(chǎn)品于1997年率先通過由國家密碼管理委員會組織的專家鑒定。鑒定委員會一致認(rèn)為：“SJL05金融數(shù)據(jù)加密機(jī)設(shè)計合理，技術(shù)先進(jìn)，適用范圍廣，保護(hù)措施可靠，操作使用方便，技術(shù)資料齊備，整體技術(shù)達(dá)到國內(nèi)先進(jìn)水平，填補了我國ATM/POS金融數(shù)據(jù)加密設(shè)備的空白，具有推廣應(yīng)用價值”。SJL05在設(shè)計時采用國際領(lǐng)先的技術(shù)，幾年來，公司根據(jù)客戶要求，不斷對產(chǎn)品進(jìn)行完善，提供友好的用戶界面，已成為銀行聯(lián)網(wǎng)工程中，替代Racal、Atalla等國外加密設(shè)備的首選國內(nèi)產(chǎn)品。SJL05實現(xiàn)了聯(lián)機(jī)交易環(huán)境中需要的所有加密、解密及其他安全功能，主要用于各地金融信息系統(tǒng)，尤其是對進(jìn)行跨行交易的ATM／POS聯(lián)網(wǎng)信息系統(tǒng)提供數(shù)據(jù)加密與安全保護(hù)，同時廣泛用于證券、商貿(mào)、郵電、稅收、保險等計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，為計算機(jī)網(wǎng)絡(luò)系統(tǒng)提供安全保密數(shù)據(jù)的通信服務(wù)，防止網(wǎng)上的各種欺詐行為發(fā)生。加密機(jī)屬于敏感的電子設(shè)備，安裝和使用SJL05前請仔細(xì)閱讀本手冊，對需要特別注意的地方，手冊中將盡量加以提醒。2設(shè)備清單請檢查包裝箱內(nèi)下列物品是否齊全，若有缺件，請與我們聯(lián)系；名稱數(shù)量SJL05金融數(shù)據(jù)加密機(jī)壹臺直通以太網(wǎng)線(灰色)兩根交叉以太網(wǎng)線（藍(lán)色）兩根產(chǎn)品合格證壹張裝箱清單壹張電源線壹根用戶手冊壹本用戶Key陸個光盤壹張注：本清單僅提供參考，具體以包裝箱中的裝箱清單為準(zhǔn)。3產(chǎn)品介紹3.1主要功能SJL05主要用于各地銀行金融信息系統(tǒng)，尤其是對進(jìn)行跨行交易的ATM/POS聯(lián)網(wǎng)信息系統(tǒng)提供數(shù)據(jù)加密與安全保護(hù)。除此之外，還可廣泛用于證券、商貿(mào)、郵電、稅收、保險等計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，為計算機(jī)網(wǎng)絡(luò)系統(tǒng)提供安全保密數(shù)據(jù)通信服務(wù)，防止網(wǎng)上的各種欺詐行為發(fā)生。SJL05在金卡網(wǎng)絡(luò)中的配置如下圖所示：SJL05支持如下功能：由硬件完成數(shù)據(jù)加解密對PIN的加/解密、驗證及轉(zhuǎn)發(fā)消息來源正確性驗證（MAC）的產(chǎn)生、驗證及轉(zhuǎn)發(fā)交易正確性驗證（TAC）的產(chǎn)生、驗證PVV、CVV計算和驗證等利用SJL05能有效防止通信信道上的主動攻擊行為。在金融網(wǎng)絡(luò)中，線路上傳輸?shù)乃袛?shù)據(jù)全是經(jīng)加密機(jī)加密后的密文，明文只在加密機(jī)內(nèi)部出現(xiàn)，所有的密鑰也保存在加密機(jī)內(nèi)部，可有效防止內(nèi)外部人員的攻擊。下面以有中心模式的跨行交易中個人身份號PIN在ATM/POS網(wǎng)絡(luò)的傳輸為例，個人身份號PIN從收卡行到交換中心再由交換中心到發(fā)卡行受校驗流程大致如下：PIN在ATM/POS跨行交易的流程其中：顧客輸入私人密碼傳送被ATM/POS加密的私人密碼收卡行轉(zhuǎn)換私人密碼傳送被收卡行加密的私人密碼交換中心轉(zhuǎn)換私人密碼傳送被交換中心轉(zhuǎn)換后的私人密碼發(fā)卡行校驗私人密碼3.2技術(shù)指標(biāo)3.3密碼體制完整的安全保密體系結(jié)構(gòu)支持DES、3DES、RSA、Double-one-way算法和經(jīng)國家主管部門審定批準(zhǔn)的SMS3-01金融專用密碼算法CBC加密方式同時實現(xiàn)保密性與完整性完善的密鑰管理系統(tǒng)3.4工作方式Ethernet：10M/100M/1000M自適應(yīng)TCP/IP3.5兼容標(biāo)準(zhǔn)SJL05完全兼容以下標(biāo)準(zhǔn)：ANSI數(shù)據(jù)加密算法ANSI信息鑒別ANSIPIN的管理與安全ANSI密鑰管理ANSI零售金融信息的鑒別多種ATM機(jī)用戶密碼格式中國人民銀行金融IC卡規(guī)范（PBOC規(guī)范）3.6環(huán)境要求工作溫度：0°C?40°C存貯溫度：一40°C?55°C相對濕度：20%?80%電壓：220V10%,50Hz3%3.7物理特性外型：臥式機(jī)箱；體積尺寸：430mmX400mmX88mm整機(jī)凈重：8Kg

4設(shè)備安裝4.1安裝條件安裝密碼機(jī)前，請確認(rèn)滿足以下條件：接收設(shè)備與裝箱清單明細(xì)對應(yīng)且完好無損；密碼機(jī)電源開關(guān)處于斷開位置；一臺安裝有WINDOWS系統(tǒng)的PC機(jī)；確保輸入電源電壓穩(wěn)定在220V10%范圍內(nèi)。4.2密碼機(jī)示意圖密碼機(jī)前面板如下圖所示:圖1圖1前面板示意圖A：LOGOB：設(shè)備名稱C：電源指示燈D：狀態(tài)指示燈E：USB1F：USB2G：控制口K：E：USB1F：USB2G：控制口K：毀鑰孔L：接地柱圖圖3.密碼機(jī)硬件安裝方法將密碼機(jī)放在機(jī)柜里，并固定；連接通信線纜°TCP/IP通信接口：將隨機(jī)提供的網(wǎng)線一端與密碼機(jī)背后的ETH1連接，另一條網(wǎng)線與密碼機(jī)的ETH4連接。網(wǎng)線的另一端插入集線器/交換機(jī)或者是主機(jī)提供的以太網(wǎng)口。注意，如果另一端接集線器或交換機(jī)時，應(yīng)使用直通網(wǎng)線，如果另一端接主機(jī)的以太網(wǎng)口，應(yīng)使用交插網(wǎng)線。確認(rèn)電源開關(guān)處于斷開狀態(tài)后，連接電源線。注意：如果電源開關(guān)處于閉合狀態(tài)，由于插入電源插頭的瞬間高壓作用，可能損壞設(shè)備或縮短使用壽命。打開電源開關(guān)。此時前面板的電源狀態(tài)燈紅色，打開觸發(fā)開關(guān)。約數(shù)秒鐘后，系統(tǒng)檢測加密機(jī)狀態(tài)，并開始加載系統(tǒng)，狀態(tài)指示燈紅色。系統(tǒng)加載完畢后，密碼機(jī)一聲長響，狀態(tài)指示燈橙色，此時表明系統(tǒng)已加載完畢。密碼機(jī)間隔1秒長響一聲，可插入開機(jī)key,初次啟動連接控制臺終端，根據(jù)提示插入開機(jī)KEY,插入KEY后開機(jī)認(rèn)證，進(jìn)入維護(hù)狀態(tài)，可以通過控制臺管理密碼機(jī)，并隨時可以選擇進(jìn)入工作狀態(tài)（或者直接進(jìn)入工作狀態(tài)）。控制臺終端管理程序安裝方法控制臺終端管理程序是應(yīng)用于SJL05金融數(shù)據(jù)加密機(jī)的一個終端控制臺應(yīng)用程序，用于對密碼機(jī)的網(wǎng)絡(luò)參數(shù)配置、密鑰管理以及系統(tǒng)控制信息進(jìn)行交易處理前的配置和管理。該軟件需要運行在win2k/xp的操作系統(tǒng)中，支持TCP/IP通信方式對密碼機(jī)進(jìn)行遠(yuǎn)程控制操作。安裝：運行安裝光盤中的“”,安裝控制臺終端管理。運行方式：安裝控制臺終端管理的PC機(jī)連通密碼機(jī)ETH4網(wǎng)口，ETH4網(wǎng)口IP地址，點擊應(yīng)用程序圖標(biāo)〃終端管理程序?exe〃，程序顯示下圖所示初始化界面：圖4.管理終端主界面主界面中包含有七個功能標(biāo)簽頁，分別為:基本信息、參數(shù)設(shè)置、網(wǎng)絡(luò)配置、密鑰管理、密鑰產(chǎn)生、口令和令牌管理、恢復(fù)出廠設(shè)置。5控制臺終端操作基本信息5.1.1版本查看在控制臺終端管理程序的主菜單中，啟動后的缺省頁面即是“版本查看”。其中顯示了密碼機(jī)的當(dāng)前版本。圖5版本查看參數(shù)設(shè)置參數(shù)設(shè)置是對打印端口和授權(quán)控制進(jìn)行配置。5.2.1打印端口配置選擇打印端口的類型，如果是端口類型為串口則還需要選擇串口號；設(shè)置是否啟動打印。對設(shè)置做出修改后點擊“確定”提交設(shè)置。注意：注入銀行專有密鑰或IC卡注入密鑰時，系統(tǒng)會停止打印服務(wù)，操作完成后需要在此處手動啟動打印。圖6打印端口配置圖圖10安全訪問設(shè)置5.2.2交易端口配置在該頁面設(shè)置交易端口。圖7交易端口配置5.2.3特殊授權(quán)控制對“加密PIN”、“解密PIN”、“打印”、“明文注入密鑰”進(jìn)行權(quán)限控制，勾選需要授權(quán)的選項點擊“確定”提交設(shè)置。圖8特殊授權(quán)控制5.2.4設(shè)置通信格式可以對長度域、消息頭長度、消息尾長度、編碼格式進(jìn)行設(shè)置，設(shè)定完以后點擊“確定”按鈕提交。圖9設(shè)置通信格式網(wǎng)絡(luò)配置網(wǎng)絡(luò)配置主要對密碼機(jī)的IP、安全訪問控制、路由信息進(jìn)行配置。5.3.1安全訪問設(shè)置安全訪問設(shè)置功能制定針對客戶機(jī)的訪問策略。改變了規(guī)則后點擊“確定”按鈕提交設(shè)置或是點擊“重置”按鈕恢復(fù)到修正之前的狀態(tài)，信息如下圖所示。圖圖15設(shè)置加密機(jī)IP地址5.3.1.1添加安全訪問類型點擊按鈕添加安全訪問類型，窗口如下圖所示，在窗口中選擇要設(shè)置的安全訪問控制類型，可選擇對“多臺主機(jī)”、“單臺主機(jī)”進(jìn)行設(shè)置，點擊確認(rèn)后完成添加。圖11對多臺主機(jī)增加訪問控制的IP地址圖12對單臺主機(jī)增加訪問控制的IP地址編輯選擇列表中要編輯的項，點擊按鈕進(jìn)行編輯，窗口如下圖所示，在源地址中輸入要訪問加密機(jī)的IP地址，在目的地址中輸入加密機(jī)IP地址。圖13編輯安全訪問IP刪除選擇列表中要刪除的規(guī)則，點擊按鈕刪除該規(guī)則，窗口如下圖所示圖14刪除安全設(shè)置記錄5.3.2設(shè)置密碼機(jī)IP地址設(shè)置密碼機(jī)IP地址。正常的規(guī)則都標(biāo)記為，編輯過或是新加入的規(guī)則都會標(biāo)記為，提交失敗的規(guī)則都標(biāo)記為。改變了規(guī)則后點擊“確定”按鈕提交設(shè)置或是點擊“重置”按鈕恢復(fù)到修正之前的狀態(tài)。添加點擊按鈕添加新規(guī)則圖圖25密鑰分量3圖圖21編輯加密機(jī)路由圖16添加接口編輯選擇列表中要編輯的項，點擊按鈕進(jìn)行編輯圖17編輯接口刪除選擇列表中要刪除的項，點擊按鈕刪除該規(guī)則圖18刪除接口5.3.3設(shè)置密碼機(jī)路由密碼機(jī)路由功能修改密碼機(jī)的路由表。改變了規(guī)則后點擊“確定”按鈕提交設(shè)置或是點擊“重置”按鈕恢復(fù)到修正之前的狀態(tài)。圖19設(shè)置加密機(jī)路由5.3.3.1添加點擊按鈕添加新規(guī)則圖20添加加密機(jī)路由編輯選擇列表中要編輯的項，點擊按鈕進(jìn)行編輯刪除選擇列表中要刪除的項，點擊按鈕刪除該規(guī)則圖22刪除加密機(jī)路由密鑰管理密鑰管理主要包括“密鑰注入”、“密鑰備份恢復(fù)”兩大功能。5.4.1密鑰注入根據(jù)用戶輸入的密鑰分量注入各種密鑰。5.4.1.1本地主密鑰運行終端管理程序，選擇密鑰管理中的“本地主密鑰”?！氨镜刂髅荑€”主界面如圖所示。依次輸入“密鑰分量1”、“密鑰分量2”、“密鑰分量3”。如果同一密鑰分量的兩次輸入一致則“CheckValue”文本框會顯示對應(yīng)密鑰分量的CheckValue，并且下一個步按鈕也會被激活，點擊“下一步”開始下一個密鑰分量的輸入。當(dāng)完成最后一個密鑰分量的輸入后點擊“確定”開始注入密鑰，如果注入成功則點擊“完成”結(jié)束該操作。圖23密鑰分量1圖24密鑰分量2圖圖30密鑰注入成功圖26注入密鑰成功5.4.1.2區(qū)域主密鑰運行終端管理程序，選擇密鑰管理中的“區(qū)域主密鑰”。“區(qū)域主密鑰”主界面如圖所示。選擇需要的“密鑰長度”，填寫“密鑰索引”，依次輸入“密鑰分量1”、“密鑰分量2”“密鑰分量3”如果同一密鑰分量的兩次輸入一致則“CheckValue”文本框會顯示對應(yīng)密鑰分量的CheckValue,并且下一個步按鈕也會被激活，點擊“下一步”開始下一個密鑰分量的輸入。當(dāng)完成最后一個密鑰分量的輸入后點擊“確定”開始注入密鑰，如果注入成功則點擊“完成”結(jié)束該操作。圖27密鑰分量1圖28密鑰分量2圖29密鑰分量35.4.1.3終端主密鑰運行終端管理程序，選擇密鑰管理中的“終端主密鑰”?！敖K端主密鑰”主界面如圖所示。選擇需要的“密鑰長度”，填寫“密鑰索引”，依次輸入“密鑰分量1”、“密鑰分量2”“密鑰分量3”如果同一密鑰分量的兩次輸入一致則“CheckValue”文本框會顯示對應(yīng)密鑰分量的CheckValue,并且下一個步按鈕也會被激活，點擊“下一步”開始下一個密鑰分量的輸入。當(dāng)完成最后一個密鑰分量的輸入后點擊“確定”開始注入密鑰，如果注入成功則點擊“完成”結(jié)束該操作。圖31密鑰分量1圖32密鑰分量2圖33密鑰分量3圖34密鑰注入成功Key注入密鑰選擇密鑰管理中的“key注入密鑰”主界面如下圖所示。選擇需要的“密鑰類型”，依次輸入“分量個數(shù)”、“密鑰分量1口令”。如果同一密鑰分量的兩次輸入一致則“CheckValue”文本框會顯示對應(yīng)密鑰分量的CheckValue，并且下一個步按鈕也會被激活，點擊“下一步”開始下一個密鑰分量的輸入。當(dāng)完成最后一個密鑰分量的輸入后點擊“確定”開始注入密鑰，如果圖圖38恢復(fù)密鑰注入成功則點擊“完成”結(jié)束該操作。圖35key注入密鑰5.4.2本地主密鑰校驗值圖36本地主密鑰校驗值5.4.3密鑰備份恢復(fù)備份密碼機(jī)中所有密鑰對到USB-Key中或從USB-Key中恢復(fù)密鑰到密碼機(jī)。備份密鑰選擇密鑰類型，點擊“備份密鑰”選擇鈕切換到“備份密鑰”功能，在“口令”和“確認(rèn)口令”中輸入一致的密碼，把USB-Key插入到密鑰機(jī)中，點擊“備份”按鈕開始備份操作。圖37備份密鑰恢復(fù)密鑰選擇密鑰類型，點擊“恢復(fù)密鑰”選擇鈕切換到“恢復(fù)密鑰”功能，在“口令”中輸入密碼，把USB-Key插入到密鑰機(jī)中，點擊“恢復(fù)”按鈕開始恢復(fù)操作。5.5密鑰產(chǎn)生5.5.1隨機(jī)密鑰運行終端管理程序，選擇密鑰管理中的“隨機(jī)密鑰”。“隨機(jī)密鑰”主界