东进SJJ1617加密机简要管理手册Word文档下载推荐.docx
《东进SJJ1617加密机简要管理手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《东进SJJ1617加密机简要管理手册Word文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
5.6.ZMK保护导出密钥13
5.7.ZMK保护导入密钥14
6.非对称密钥管理14
6.1.产生随机密钥15
6.2.2.删除密钥16
6.3.3.删除所有密钥16
6.4.4.导出密钥列表信息16
东进金融数据密码机(SJJ1617)是经过国密局认证、符合《GM/T0045-2016金融数据密码机技术规范》、具有物理安全保护措施的金融数据硬件加密设备。
SJJ1617支持SM2、SM3、SM4国密算法,并兼容国际算法,广泛应用于金融、社保等领域。
1.密码机与管理终端的连接
东进金融数据密码机(SJJ1617)的业务应用和管理采用不同的网络端口,分别是LAN1和LAN2,分别连接业务应用系统和管理终端,如下图所示。
网络端口描述如下表所示:
端口种类
端口标识
功能
默认IP地址和端口号
业务应用端口
LAN1
连接业务应用系统
192.168.10.200:
8018
管理端口
LAN2
连接管理终端
192.168.11.200:
8013
东进金融数据密码机(SJJ1617)通过LAN2口连接管理终端,实现对密码机的维护管理。
东进金融数据密码机(SJJ1617)支持通过串口连接管理终端,利用USB转串口线,将金融数据密码机管理串口COM2连接至管理终端的USB接口上。
2.启动管理工具DJHSM.exe
东进金融数据密码机(SJJ1617)提供专用的设备管理客户端软件,基于windowsOS,运行管理终端上,完成对密码机的维护管理功能。
客户端管理工具的主界面如下:
管理功能菜单栏
状态栏
操作显示界面
1,密码机客户端软件的管理功能包括:
⏹登录:
串口连接、TCP连接、断开连接、修改登录口令;
⏹超级管理:
设备主密钥的导入(原始初始化)和恢复操作、测试主密钥的导入(出厂初始化)、获取DMK校验值、导出设备主密钥DMK成份;
用户管理(用户的添加、删除和重置登录口令);
应用密钥的备份及恢复操作;
⏹密钥管理:
对称密钥和非对称密钥的管理(包括密钥的产生,删除等功能);
⏹配置设备:
包括可信客户端的添加删除操作、主机端口设置、管理端口设置、打印端口设置、设备时间设置;
配置信息的导出到IC卡和从IC卡导入到加密机中;
⏹IC卡管理:
IC卡的格式化、修改IC卡口令、获取IC卡信息;
⏹日志管理:
日志的配置、导出日志、查看日志和清除日志;
⏹设备状态:
设备连接信息、设备自检和设备基本信息;
⏹系统维护:
超级维护和加密机服务升级;
2,操作显示界面:
显示管理客户端上的所有操作过程和响应结果信息;
3,状态栏:
主要显示操作者的身份(例如:
超级管理员或者管理员)、加密机的主机服务状态(例如:
无主密钥或者工作状态等);
管理工具所有的操作都会记录在日志中,日志文件的路径在DJHSM.exe同级目录下log/DJHSM_Log_time.txt,若是直接执行光盘上的DJHSM.exe,则不记录日志文件。
3.管理权限与角色
东进金融数据密码机(SJJ1617)采用智能IC卡进行安全管理,密码机角色分为:
超级管理员、管理员、操作员和审计员。
密码机角色的权限分配如下表所示:
密码机角色
操作权限
超级管理员
管理员
操作员
审计员
初始化
√
--
密钥备份及恢复
用户权限管理
IC卡管理
系统维护
应用密钥管理
配置设备
日志审计
查看设备状态
4.原始初始化
密码机正式使用前,必须进行注入设备主密钥DMK操作,即原始初始化。
原始初始化生成DMK成份卡并注入DMK后,会同时制作开机卡并创建各类型管理用户。
除超级管理员使用DMK成份卡登录认证之外,其它类型管理用户都需要制作用户IC卡用来登录认证。
通常情况下,DMK成份卡配置3张,管理员、操作员和审计员可配置1张IC卡。
原始初始化流程如下图所示:
4.1.注入设备主密钥DMK
步骤1:
用超级管理员登录,点击“原始初始化”按钮,系统弹出警告提示框。
该操作将清除设备内的全部密钥,若要继续则拨动密码机前面板的状态锁到“安全”模式,勾选继续,点击“下一步”。
步骤2:
根据DMK成份即超级管理员人数(3–8人)确定成份卡数目,点击“下一步”。
步骤3:
制作成份卡。
制作成份卡时,由成份卡持有人两次输入预定义的密钥值(8-32个任意字符),同时插入要制作的成份IC卡并输入卡片口令,点击“产生成份卡”按钮,密码机将计算得到的成份数据写入IC卡;
同上根据提示依次制作n张(在第一步中确定的数目)成份卡后,点击“下一步”。
步骤4:
导入DMK成份到密码机内。
按照提示插入一张刚刚制作好的成份卡并输入口令,点击“导入成份卡”按钮即可;
同上导入n张成份卡,成份卡的导入与次序无关,但不能将同一张成份卡导入多次。
4.2.制作开机卡
开机启动时必须插入正确的开机卡,密码机才能提供正常的密码服务,开机卡为一机一卡。
依照提示,插入要制作的开机卡,输入IC卡口令,点击“下一步”完成开机卡的制作,
设置超级管理员登录密码。
依照提示,输入超级管理员密码,点击“下一步”。
在此可以选择增加管理员、操作员、审计员,也可以选择不增加用户,等需要的时候,用超级管理员登录,在超级管理->
用户管理下增加用户。
不过一般情况下会在此增加用户。
选择制作管理员卡,点击下一步进入增加用户的操作;
每一个管理员用户可制作多张卡,通过多人分别持卡,操作时同时到场的方式,提供更安全的访问控制机制。
通常情况下,每个管理员用户可制作一张卡。
确定IC卡数目并输入用户名和用户名口令,点击下一步;
按照提示插入一张管理员IC卡并输入管理员IC卡口令,点击“确认输入”按钮。
点击“下一步”进入设置制作操作员界面和审计员界面,界面和制作管理员的界面一致,参考制作管理员步骤完成操作员和审计员的制作;
请插入开机卡后,点击“完成”按钮结束原始初始化操作,将安全状态锁拨回常规模式(即工作模式)。
如果完成原始初始化操作时忘记插入开机卡,则需要插入开机卡后,手动断电重启密码机以使新密钥生效。
5.对称密钥管理
对称密钥管理操作包括:
产生随机密钥、成份合成密钥、删除密钥、删除所有密钥和由ZMK保护导入导出应用密钥,支持将密钥列表信息导出到本地文件中。
用管理员登录管理客户端工具,在密钥管理下,点击“对称密钥管理”,系统将列举当前已存在的密钥信息:
5.1.产生随机密钥
点击“产生随机密钥”按钮,用户可根据需要选择要产生密钥的密钥类型、算法标识、是否存储在密码机内,输入密钥索引、密钥标签,点击“产生”,密码机将产生新的随机密钥,并显示密文和校验值;
若勾选了“存储到密码机内索引”,则自动将产生的密钥存储到指定的索引中。
5.2.成份合成密钥
点击“成份合成密钥”按钮,用户可根据需要选择合成密钥的密钥类型、算法标识、成份数目、是否存储在密码机内,输入密钥索引和密钥标签,点击下一步。
输入合成密钥的成份值。
按照提示输入2次成份值,点击下一步,完成一个成份的输入,依次输入N个密钥成份,完成密钥合成。
显示密钥合成的结果,即显示LMK加密的密钥密文和密钥校验值。
如果勾选了“存储到密码机内索引”,则自动将新合成的密钥存储到指定索引中,覆盖原内容。
5.3.删除密钥
在密钥列表中选择要删除的密钥,可以选择一条或多条,点击“删除密钥”按钮,系统将弹出确认提示框,点击“是”确认删除,密码机将删除选定的密钥;
5.4.删除所有密钥
点击“删除所有密钥”按钮,系统将弹出提示框,点击“是”确认全部清除,密码机将清除全部对称密钥。
5.5.导出密钥列表信息
点击“导出列表信息”按钮,管理工具将把对称密钥列表中的所有信息导出写入到本地文件keylist.txt(DJHSM可执行程序所在目录下),采用追加模式写入;
5.6.ZMK保护导出密钥
点击“ZMK保护导出”按钮,可以使用选择加密机内存储的ZMK保护导出需要导出的的密钥:
也可以使用外部输入的ZMK在LMK下加密的密文去保护导出在LMK下加密的密钥密文:
5.7.ZMK保护导入密钥
点击“ZMK保护导入密钥”按钮,可以通过ZMK保护导入外部输入的在ZMK下加密的密钥密文并可选的存储到加密机内:
6.非对称密钥管理
非对称密钥管理操作包括,产生随机密钥、删除密钥和删除所有密钥,支持将密钥列表信息导出到本地文件中。
用管理员登录管理终端工具,在密钥管理下,点击“非对称密钥管理”,系统将列举当前已存在的密钥信息。
6.1.产生随机密钥
点击“产生新密钥”按钮,用户可根据需要选择要产生密钥的算法标识、是否存储在密码机内,输入密钥索引、密钥标签,点击“产生”。
密码机将产生新的非对称密钥,并显示公钥明文和私钥密文;
若勾选了“存储到密码机内索引”,则自动将新产生的密钥存储到指定索引中,覆盖原内容。
6.2.2.删除密钥
在密钥列表中选择要删除的密钥,可以选择一条或多条,点击“删除密钥”按钮,系统将弹出确认提示框,点击“是”确认删除,密码机将删除选定的密钥。
6.3.3.删除所有密钥
点击“删除所有密钥”按钮,系统将弹出提示框,点击“是”确认删除全部密钥,密码机将清除全部非对称密钥。
6.4.4.导出密钥列表信息
点击“导出列表信息”按钮,管理工具将把非对称密钥列表中的所有信息导出写入到本地文件keylist.txt(DJHSM可执行程序所在目录下),采用追加模式写入;
升级会员 