08加密机使用手册文档格式.docx
《08加密机使用手册文档格式.docx》由会员分享,可在线阅读,更多相关《08加密机使用手册文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
6.2注入IC卡密钥21
6.3注入功能密钥22
附录1所有终端命令功能表23
附录2LMK表25
第一章支付服务密码机简介
支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机,直接与主机相连接,以规定的协议通讯。
此密码机设计可靠,结构合理,使用方便,外型美观。
1.1密码机的功能
支付服务密码机是金融网络安全系统的重要组成部分之一,主要的功能是实现对网络上传输的信息进行保护或鉴别,以保证金融信息的正确性,能够有效防止对通信数据的非法窃取或篡改。
1.2密码机的技术特点
用于TCP/IP协议。
所有密钥库的自动维护功能,包括密钥的产生、分发、注入和销毁。
支持哑终端密钥管理方式。
密码机具有完善的密钥保护功能,即使掉电,也能保护好密钥不被丢失;
另外还有非法操作时的密钥销毁功能。
具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复。
可以通过软件、硬件来设置、检测各部分的功能,设定系统的运行参数,具有完善的人机交互界面。
1.3密码机的技术指标
接口方式:
RJ/45及RS—232
传输速率:
10M/100M/1G自适应
工作电压:
220V25%、50HZ
功耗:
85W
可靠性:
MTBF>
20,000h
1.4密码机的外形结构
图一:
密码机前视图说明
1、IC卡插座
此处是管理密码机的IC卡的插入口
2、密钥销毁锁
紧极时可销毁密钥
3、电源灯
当密码机接通电源时,电源灯亮
4、工作灯
当密码机正进行加、脱密等安全处理时,加密灯亮
5、报警灯
当密码机处于非正常状态时,报警灯亮,并伴有报警声
1、电源开关按钮
控制对密码机的供电
2、交流电源插座
3、机仓后锁
技术人员由此打开机箱维护密码机(用户请勿私自打开,否则可能造成严重后果)
4、RS-232C9芯插座1
5、TCP/IP接口1
6、TCP/IP接口2
7、并口(接并口打印机用)
8、RS-232C9芯插座2
第二章支付服务密码机的使用
2.1密码机的配套清单
Ø
密码机一台
使用说明书一本
220V交流电源线一根
IC卡一套
串口线一根
2.2密码机的安装
2.2.1安装步骤
第一步密码机通过TCP/IP接口与主机连接,即可进入生产环境。
第二步固定好线缆的两端,以保证其良好的接触和安全。
第三步接上220V的交流电源线,打开密码机交流电源开关。
2.2.2密码机的初始化
在哑终端上进行如下初始化(连接方法见第4章):
为密码机分配IP地址、网关及子网掩码;
为密码机分配一个通信端口;
为密码机分配一个客户;
为密码机设置PIN长度、消息头长度、字符编码等。
2.2.3注入密钥
密码机在使用之前应先注入密钥。
如果没有注入密钥,密码机起动后会报警。
在哑终端上进行如下操作:
(方法见第4章)
完成密码机三张超级权限卡的制作,再从三张超级权限卡中导入主密钥三个成份,在密码机中自动合成主密钥。
2.3密码机各部分的说明
2.3.1IC卡插座
密码机采用推推式IC卡座。
将密码机专用卡的触片面向上、向前,按照IC卡上标示的方向,对准插座方向适当用力推入即可操作,再轻推一下即可弹出,此时才可以拔出IC卡。
2.3.2密钥销毁锁
用于销毁密钥。
销毁密钥时,先将密码机电源关闭,然后密钥销毁锁转至销毁状态,1秒后密钥销毁。
2.3.3机仓后部的锁
用来固定机仓。
2.3.4蜂鸣器
密码机内部还装有蜂鸣器,用于异常时报警或者在有些操作过程中给予声音提示。
2.4密码机的接口
密码机有5个接口:
2个以太网口,2个串口,1个并口。
2.5注意事项
密码机必须注入密钥才能正常工作。
严禁带电打开密码机的机仓和拨/插通信线缆。
严禁强电流、高电压对密码机的冲击。
密码机不能正常工作时,请填好保修单,及时与供应商联系,以便进行检查、维修。
若IC卡损坏,严禁随便丢弃,必须交还给配发单位,由配发单位统一处理。
第三章密钥管理哑终端使用说明
3.1使用说明
打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1端口(CONSOLE端口)。
连接方法:
用哑终端连接线缆连接PC机的串口和密码机的COM1端口。
测试过程中用PC机上Windows自带的“超级终端”软件,模拟哑终端。
在Windows桌面环境下依次点击:
开始所有程序附件通信超级终端,运行“超级终端”。
超级终端设置:
9600bps、8位数据位、1位停止位、无奇偶校验位。
第四章加密机配置
4.1设置加密机IP
超级终端与加密机连接好,在HSM-AUTH3>
提示符下执行list命令,将会显示加密机自带的所有终端命令:
aacnacyadbccardcardkeyccchcheckcheckkeyckclearallkeyclscopycpcsctcvdesecfcfkgchelphistoryipivkakbkekeykgkilistlkloloadmkloadtestkeyltkmkmkadministermksupermkworkerportprinterprtpvpwqhqprandrcrebootrenewsfverwk
在HSM-AUTH3>
提示符下执行IP命令:
HSM-AUTH3>
ip
EnterIPaddress:
10.8.2.8
EnterDefaultGateway:
10.8.2.254
EnterSubnetmask:
255.255.255.0
按回车键,加密机IP设置成功。
4.2查看、添加和删除客户端IP
提示符下执行ct命令:
1.192.168.1.244
2.200.200.200.244
Addaclient/Deleteaclient/deleteallClients[A/D/C]:
选择A、D、C完成客户端IP的添加和删除。
4.3设置加密常用设置
在HSM-AUTH3>
提示符下执行ch命令:
该命令功能设置PIN长度,消息头长度,打印方式以及字符编码方式。
ch
PinLength[4-12]:
6
MessageHeaderLength[0-99]:
PrinterResponse[1-2]:
1
Ascii/Ebcdic/IBM5250[A/E/I]:
A
Password/Clear[P/C]:
P
4.4查看加密机IP地址、网关和子网掩码
提示符下执行qh命令:
当执行qp后,加密机输出如下信息:
qp
IPaddress:
DefaultGateway:
Subnetmask:
第五章超级管理员,管理员和维护权限
5.1加密机权限分类
由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置,从安全方面考虑,加密机管理权限分3种:
超级管理员,管理员以及维护权限。
不同权限身份的管理人员对加密机执行的操作不同。
5.2进入相应管理权限状态
当用超级终端连接加密机时,默认的是维护管理员权限,如果要进入超级管理员和管理员全选,需要执行终端命令a,按照提示插入IC卡,输入IC卡口令的过程中,加密机会计算出IC中的校验值与密码机中存储的校验值做比较,然后进入相应的管理权限状态。
5.3.1超级管理员权限
超级管理员拥有最高权限,能执行所有的终端命令。
(终端命令功能见附录1)
5.3.2管理员权限
管理员权限能执行加密了提供的大部分终端命令,权限如下:
a,b,c,card,cc,ch,check,ckeckkey,ck,cls,ct,cv,des,ec,fc,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port,printer,prt,pv,pw,qh,qp,rand,rc,ver,wk,history
5.3.3维护员管理员权限
维护员权限很低,只能执行仅有的几条终端命令,权限如下:
a,card,check,checkkey,des,history,qh,qp,rand,rc,ver
这些终端命令基本上是一些查看加密机相关设置的命令。
5.5制作三种权限卡
5.5.1IC卡的格式化
在制作权限卡之前,必选将IC卡格式化,格式化终端命令fc,示例如下:
fc
Somethinginthecard,Continue?
[Y/N]:
Y
Cardpin:
********
RetypeCardpin:
Enterdate[YYMMDD]:
090225
Entertime[HHMMSS]:
220000
EnterIssuerID:
0000
EnterUserID:
Formatsuccess!
在格式化的过程中,对IC卡设置了密码,这个密码卡片持有人必须记住,因为在后面制作权限卡的时候会要求输入卡密码。
5.5.2超级管理员卡的制作
制作超级管理员权限卡其实也就是往加密机输入主密钥的一个过程,在执行mksuper命令后,按照提示输入主密钥的三个分量,输入分量完成后加密机提示插入IC并输入IC卡密码,三个分量分别存储在三张IC里面,输入人员记好自己输入的分量,做好明文备份工作。
加密机加载主密钥执行loadmk命令,加密机会提示按顺序插入三张超级管理员卡,因此在制作超级管理员卡的时候必须记住IC卡的次序,且在有几台加密机的情况下必须标明每套卡与加密机的对应关系。
超级管理员卡制作步骤如下所示:
mksuper
Rmkcomponent1:
************************************************
RetypeRmkcomponent1:
Rmkcomponent2:
RetypeRmkcomponent2:
Rmkcomponent3:
RetypeRmkcomponent3:
Insertthesupercard1andpressENTER...
4.5.3管理员权限卡的制作
将格式化的IC卡插入加密机,执行mkadminister终端命令,加密机提示输入Card1密码,当密码输入正确后加密返回管理权限卡1的校验值,这个校验值将存入加密机,以后身份验证就是跟这个校验值有关系。
管理员权限卡的制作过程如下:
mkadminister
Inserttheadministercard1andpressENTER!
administercard1PIN:
*******
Sorry,passworderror!
remaintimeis2
Makeadministercard1now!
Pleasewaitfor...
Cardcheckvalue:
F44D424C2DD75AE9
Maketheadministercard1success!
NewHsmPassword4:
RetypeNewHsmPassword4:
HsmPassword4SetOk!
Inserttheadministercard2andpressENTER!
5.5.4维护员权限卡的制作
将格式化后的IC卡插入加密机,执行终端命令mkworker,然后按加密机提示输入信息。
制作过程如下:
mkworker
InserttheworkercardandpressENTER!
workercardPIN:
Makeworkercardnow!
0A410D6C7702F77A
Maketheworkercardsuccess!
NewHsmPassword6:
RetypeNewHsmPassword6:
HsmPassword2SetOk!
第六章密钥注入
6.1加载主密钥
加载主密钥后,下次重启连接PC超级终端将是维护员权限,如果加密机是加载的测试密钥,则再次重启加密机连接PC超级终端将是超级管理员权限。
加密机投入运行时,必须先制作超级管理员卡和装载MK。
由于DES算法依靠某一个密钥进行加密,同时所有密钥和数据都经由MK进行加密,所以MK必须通过一种安全的方法生成和维护。
主密钥的加载方式是:
在PC的超级终端执行LOADMK命令,然后按提示插入超级管理员卡和输入密钥(超级管理员卡的制作见4.5.2)。
注意:
插入超级管理员卡必须按制卡顺序插入IC卡。
加载主密钥的步骤如下:
loadmk
Insertthesupercard1andentercard1Pin:
NewHsmPassword1:
RetypeNewHsmPassword1:
HsmPassword1SetOk!
component1checkvalue:
82E13665B4624DF5
Insertthesupercard2andentercard2Pin:
NewHsmPassword2:
RetypeNewHsmPassword2:
component2checkvalue:
00962B60AA556E65
Insertthesupercard3andentercard3Pin:
6.2注入IC卡密钥
加密机能存放1048把IC卡密钥,密钥索引号(Keyindex)最大为1047。
密钥的灌入步骤大致是:
在PC的超级终端输入Key命令->
选择密钥长度->
输入索引号->
选择密钥分量->
输入密钥明文,然后加密机返回密钥的密文和校验值。
注入IC卡密钥示例如下:
key
Keylength64/128[1/2]:
2
Keyindex:
000
EnternumberofComponents(2-9):
Entercomponent1:
********************************
Entercomponent2:
:
010*********
Keycheckvalue:
8CA64DE9C1B123A7
6.3注入功能密钥
功能密钥的注入是通过PC超级终端执行ec或者gc终端命令生成,ec终端命令是明文输入产生密钥,gc命令是随机产生指定的功能密钥。
LMK表见附录2
gc
Keylength[1/2/3]:
Keytype:
001
ClearComponent:
16EC6215E6B30B892AB3AB79021937C2
EncryptedComponent:
A11ED73B46CCD10B54D680A726D3E779
BAD194B693384D99
附录1所有终端命令功能表
所有终端命令的功能:
终端命令
功能
a
进入身份验证
b
用ZMK密文产生ZPK在LMK和ZMK下加密的密文和校验值
c
进入维护管理员身份
acn
退出授权状态
acy
进入授权状态
card
查看卡片校验值
cardkey
读或者写传输卡
history
显示前面所执行的所有终端命令
check
查看加密机主密钥校验值
checkkey
查看加密机IC卡密钥校验值
Clearallkey=cls
不经任何提示删除加密机所有密钥(慎用)
ec
输入密钥明文经加密机加密后输出密文和校验值(输入密钥类型和明文的时候是不可见的)
kg
输入ZMK密文,产生各类型密钥并在LMK和ZMK下加密
fk
以明文或者密文方式产生各类(64/128/192)密钥
随机数生成各种密钥,并输入密钥明文和密文以及校验值
rand
产生随机密钥并输出校验值
Ka
随机产生PVK和CVK的A,B两部分在LMK下加密的密文和校验值
kb
将pvk和cvk的A,B两部分从LMK加密转换到ZMK下加密,并输出校验值
iv
pvk和cvk的A,B两部分从ZMK加密转换到LMK下加密,输出密文和校验值
ck
根据密钥密文计算校验值
pv
产生pvv
ke
将密钥从LMK加密转到ZMK加密
ki
将密钥从ZMK下加密转到LMK下加密
以分量方式产生(64或128)索引下的密钥
lk=laodmk
加载主密钥
ltk=loadtestkey
加载测试密钥
MK
输入主密钥并导入IC卡
pw
更改HSM和IC的pin
rc
输入密码是不显示输入域,查看卡片信息
wk
制作维护权限卡
格式化IC卡(在做身份认证卡前必须先格式化IC卡)
用密钥明文或者密文合成所需要的功能密钥
ad
制作管理员权限卡
qh
查看加密机的常用设置
查看加密机IP和网关以及子网掩码
ver
查看加密机版本信息
reboot
重启加密机
printer
设置加密机打印方式
cc
设置加密机波特率和报文头长度
设置加密机常用设置(pin长度,消息头,打印方式,通讯编码)
des
des加密,用来计算密钥加密数据得出密文
ct
查看客户端ip和添加(删除)客户端IP;
附录2LMK表
LMK对
00-01
包含两个需要用来将HSM设置为授权状态的智能卡“密钥”(如果HSM
设置为密码模式则为密码)。
02-03
加密保存在主机存储域内的PIN。
04-05
加密区域主密钥(ZMK)和双倍长度的区域主密钥(ZMK)。
加密变量下区域主密钥的成份。
06-07
为互换交易而加密区域PIN密钥(ZPK)。
08-09
用于生成随机数。
10-11
用于加密存储在HSM缓冲器中的密钥。
12-13
用户创建秘密值的初始设置;
用于生成所有的其它主密钥对。
14-15
加密终端主密钥(TMK),终端PIN密钥(TPK)和PIN校验密钥(PVK)。
加密变量下的卡确认密钥(CVK)。
16-17
加密终端认证密钥(TAK)。
18-19
加密请求信封的参考数。
20-21
加密‘不用的’变量下的PIN校验密钥(PVK)和卡确认密钥(CVK)。
22-23
加密口令密钥。
24-25
加密区域传送密钥(ZTK)。
26-27
加密区域认证密钥(ZAK)。
28-29
加密终端推导密钥(TDK)。
30-31
加密区域加密密钥(ZEK)。
32-33
加密终端加密密钥(TEK)。
34-35
加密RSA密钥。
36-99
为将来保留。
为了匹配特殊的要求,有一些密钥存在变量
升级会员 