电力专用纵向加密认证装置使用说明书.docx
《电力专用纵向加密认证装置使用说明书.docx》由会员分享,可在线阅读,更多相关《电力专用纵向加密认证装置使用说明书.docx(13页珍藏版)》请在冰豆网上搜索。
电力专用纵向加密认证装置使用说明书
电力专用纵向加密认证装置使用说明书
电力专用纵向加密认证装置SJW07-A
使用手册
版本
1.0。
出版日期
6月。
著作权注意事项
本书版权为信息产业部数据通信科学技术研究所所有。
未经信息产业部数据通信科学技术研究所书面同意,任何公
司、单位或个人,不得用任何手段复制本手册的部分或全部
内容。
对印刷错误的更正,所述信息谬误的勘误,以及产品的
改进,均由信息产业部数据通信科学技术研究所随时作出解
释,恕不预先通知,修正内容将编入再版说明书中。
商标
所有在本手册使用的商标为该商标所有人的资产。
业务联系方式:
北京东方京海电子科技有限公司
地址:
北京海淀区上地科贸大厦二层
邮编:
100085
联系人:
张涛
电话:
(010)82899476-233
目 录
引言
Chapter
1
1引言
1.1设备简介
******网络密码机(以下简称******)用于实现在IP网络上的数据加密传输,用于商用密码领域。
经过******可在公网(如Internet或其它商业性网络)之上构造安全的VPN系统。
******主要应用于全国电力二次系统,基于全国电力调度数据网络构建安全VPN,为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
******在电力系统中的专用称谓是“电力专用纵向加密认证装置(简称装置)”,除非做特别说明,本文不区分******和装置。
1.2预期读者
本手册对******的功能、使用方法及日常维护做了详细的介绍。
预期读者是******的使用和维护人员,请相关人员在使用或维护密码机前认真阅读本手册。
1.3文档结构
为了能够更快的了解本手册的内容,现将手册的基本结构介绍如下:
第一章:
引言
简述******网络密码机的适用领域及本手册的基本结构。
第二章:
安装
介绍如何安装******的软硬件。
第三章:
工作原理
介绍******的应用拓扑和基本概念。
第四章:
日常使用
介绍******的日常使用方法和常见故障排除
安装
Chapter
2
2安装
2.1装箱单
打开设备包装箱后,请先确认配件是否齐全:
1.******网络密码机1台
2.操作员卡2张
3.电源线2条
4.专用配置电缆1条
5.非屏蔽五类直通网线2条
6.非屏蔽五类交叉网线1条
7.上架耳片2件(沉头螺钉8个)
8.机箱钥匙2把
9.司环胶垫1套(4个)
10.上架螺钉和螺母各4个
11.用户使用说明书1本
12.用户光盘1张
13.产品合格证
如果发现配件与装箱单不符,请及时与供货商联系。
2.2外观图
2.2.1前面板示意图
图1******前面板示意图
2.2.2后面板示意图
图2******后面板示意图
2.3密码机的安装
2.3.1安装密码机到19英寸机柜
******的高度是1U,宽度为19英寸,能够安装在19英寸标准机柜上。
为保障密码机稳定、可靠地运行,推荐把密码机安装在机柜上。
安装过程如下:
第一步:
检查机柜的接地与稳定性。
用螺钉将安装挂耳固定在密码机前面板两侧;
第二步:
将密码机放置在机柜的一个托盘上,根据实际情况,沿机柜导槽移动密码机至合适位置,注意保证密码机与导槽间的合适位置;
第三步:
用螺钉将安装挂耳固定在机柜两端的固定导槽上,保证机柜每个槽位的托架和密码机的安装挂耳将密码机稳定地固定在机柜上。
密码机的固定角铁并不用来承重,它只起固定作用,密码机安装于19英寸机柜时,密码机机箱的下边要有滑道(固定在机架上)来支撑密码机。
2.3.2安装密码机到工作台
很多情况下,用户并不具备19英寸标准机柜,此时,人们经常见到的方法就是将密码机放置在干净的工作台上,此种操作比较简单,操作中,只要注意如下事项即可:
●保证工作台的平稳性与良好接地。
●密码机四周留出10cm的散热空间。
●不要在密码机上放置重物。
2.3.3电源线及地线连接
1.电源插座(建议)
建议使用有中性点接头的单相三线电源插座,或多功能PC电源插座。
电源的中性点在建筑物中要可靠接地,一般楼房在施工布线时,已将本楼供电系统的电源中性点埋地,用户需要确认本楼电源是否已经接地。
2.交流电源线连接
第一步:
将机壳接地线一端接到密码机后面板的接地柱上,另一端接至机房接地排的接线柱上,拧紧固定螺母,以保证良好接地。
第二步:
将密码机的电源线一端插到密码机机箱后面板的电源插座上,另一端插到外部的供电交流电源插座上。
注意:
密码机上电之前,必须先连接好地线。
建议:
为确保密码机稳定、可靠地运行,推荐使用稳压电源。
2.3.4密码机网线连接
密码机经过10BaseT/100BaseTXRJ45以太网口与路由器、交换机或集线器等网络设备相连。
密码机的外网口与外部网相连,内网口与内部网相连,心跳口用于双机互备。
将随机附带的非屏蔽五类直通/交叉网线一端连接到密码机的外/内网口,另一端连接到路由器、交换机或集线器的以太网口。
有关网络设备端口的更多的信息请参考网络设备使用手册。
设置为双机互备的两台密码机必须用随机附带非屏蔽五类交叉网线将心跳口连接起来。
2.3.5配置电缆连接
1.配置电缆
配置电缆是一根8芯电缆,一端是压接的RJ-45插头,插入密码机的配置口里;另一端则同时带有一个DB-9(孔)插头,可插入配置终端的9芯(针)串口插座。
2.配置电缆连接
经过终端配置密码机时,配置电缆的连接步骤如下:
第一步:
将配置电缆的DB-9孔式插头接到要对密码机进行配置的PC或终端的串口上。
第二步:
将配置电缆的RJ-45一端连到密码机的配置口(Console)上。
由于PC机串口不支持热插拔,不能在密码机带电的情况下,将串口插入或者拔出PC机。
当连接PC和密码机时,应先安装配置电缆的DB9端到PC机,再连接RJ45到密码机;在拆下时,先拔出RJ45端,再拔下DB9端。
连接时请认准接口上的标识,以免误插入其它接口。
只有当需要设置密码机时,才需要用配置电缆连接密码机和PC。
2.4安装完成后检查
●检查选用电源与密码机的标识电源是否一致;
●检查地线是否连接;
●检查配置电缆、电源输入电缆连接关系是否正确;
●检查接口线缆是否都在室内走线,无户外走线现象;若有户外走线情况,请检查是否进行了交流电源防雷插排、网口防雷器等的连接。
2.5配置管理软件安装
操作员能够使用随机光盘中附带的配置管理软件在WINDOWSPC上对密码机进行配置管理。
配置管理软件的安装步骤如下:
首先执行随机光盘中的安装文件setup.exe,弹出安装对话框,如图:
点击下一步弹出选择安装目录对话框,如图:
点击下一步弹出快捷方式对话框,如图:
点击下一步弹出安装对话框,点击安装按钮,安装结束。
在桌面上会有一个配置终端的快捷方式,点击快捷方式即可进入配置终端软件。
工作原理
Chapter
3
3工作原理
3.1典型应用拓扑
图3三个局域网经过******构成安全VPN的示意图
上图为******网络密码机的典型应用拓扑:
1.每一个局域网根据具体情况可在由一到两台密码机保护下,同其它局域网互联;从而使整个系统成为一个安全的VPN系统。
2.装置证书服务系统采用离线方式工作,不与广域网相连。
3.密码机管理中心直接与各密码机通信,实现对全系统密码机的集中管理。
3.2双机与主主隧道
当局域网中配备两台******网络密码机时,可将密码机配置成主主隧道运行模式,即两台密码机之间不需要心跳口连线,都以主密码机身份工作。
即当主密码机发生故障时,对端密码机能够快速发现这条主隧道不可用,并将认证和加密传输处理工作切换到另外一条主隧道上,保障通信连续性。
推荐每个局域网中配备两台******网络密码机,并把密码机配置成主主隧道运行模式,以提高系统可用性。
3.3安全证书机制
证书采用X.509格式,共有4类,分别为根证书、管理中心证书、对端密码机设备证书(简称对机证书)、操作员证书。
装置证书服务系统采用离线方式工作,所有证书均由装置证书服务系统统一签发。
根证书:
用于验证其它证书的有效性。
管理中心证书:
用于与管理中心通信。
操作员证书:
用于人机卡认证。
对机证书:
用于与其它密码机同步工作密钥,与IP地址绑定。
证书撤销列表:
即CRL,用于认证证书有效性,列表内的证书均视为无效。
采用X.509格式,由装置证书服务系统定期发布。
3.4密钥体系
******网络密码机采用三级密钥:
主密钥、设备密钥、工作密钥。
主密钥:
由密码机硬件噪声源随机生成,存储在密码机内部;又称保护密钥,负责加密保护密码机中所有的密钥。
设备私钥:
设备公私钥对由密码机的密码模块产生,设备私钥被主密钥加密后存储在密码机内部。
设备公钥以证书请求方式导出,由装置证书服务系统签发成设备证书并发布。
工作密钥:
工作密钥由密码机在工作时产生,不需要保存,动态更新。
密码机具有开壳毁钥功能,当密码机检测机箱顶盖到被非法打开后,则立即销毁主密钥和设备密钥。
3.5人机卡认证
操作员具有对密码机配置管理的权限,负责密码机的操作和管理,可由具有较高权限的机房管理人员承担。
在登录进入密码机配置界面时,会进行操作员口令、操作员卡和密码机之间的交叉认证,认证经过后才能对密码机进行配置。
3.6远程管理
密码机安装管理中心证书后,密码机管理中心可直接与密码机通信,对其进行远程配置和监控。
3.7设备状态说明
密码机共有两种状态:
出厂/初始态和工作态。
这两种状态在一定的条件下相互转换,状态转换时需要重新启动密码机。
初始态:
密码机出厂时,默认为该状态。
处于初始态时需要用户经过配置终端做一些初始配置。
工作态:
初始配置结束后,密码机正常的工作状态。
3.8日志和审计
密码机在启动和运行过程中,发生的事件和错误都有日志记录,用户能够经过配置管理软件查看事件和定位故障。
操作员对密码机进行的操作也有日志记录,便于对其进行归纳和分析。
日志文件存在密码机中,日志文件最大占用512K空间。
当日志文件大于512K时,则删除较旧的256K。
3.9声光指示
密码机在工作的过程中,经过前面板指示灯和蜂鸣器的不同组合实现声光指示。
正常情况下,显示密码机的状态;当密码机出现故障时,声光告警,提示用户。
密码机状态表参见附录四。
3.10旁路开关
旁路开关为拨动开关,有2种状态:
旁路和非旁路。
密码机正常运行于加密状态下时,请置此开关于非旁路模式;如果需要跨过密码机进行物理明通通信,请置此开关于旁路模式(关机能够实现相同功能)。
本地配置
Chapter
4
日常使用
Chapter
4
4日常使用
密码机配置结束后,进入正常工作状态。
本章主要为机房工作人员介绍******密码机的日常操作步骤。
。
4.1开机和关机
4.1.1开机
先确认密码机电缆和电源线均正确连接。
按下电源开关拨到“I”,电源灯亮。
系统上电自检成功,告警灯熄灭,状态灯闪烁3下。
密码机启动过程约须30秒钟,启动成功后,系统灯闪烁数次,并有3声短音提示。
正常工作时,告警灯熄灭,系统灯以亮一秒,灭两秒的频率闪烁。
4.1.2关机
将电源开关拨到“O”,指示灯熄灭。
如果长期不使用密码机,请拔掉电源线。
4.2工作环境
******是重要的密码设备,为保证其正常工作,请检查使用环境是否符合下列要求:
电源AC190~240,50Hz
室温-5~45℃
湿度5%~95%
请勿在密码机上放置重物,并保持良好的通风。
4.3常见故障的识别和排除
故障现象
原因及解决方法
电源指示灯未亮
请检测电源线是否连好
IC卡指示灯未亮
请检测IC卡是否插好
告警灯亮起
密码机发生故障,声光告警,具体含义参见附录D
常见问题解答
Appendix
A
附录A:
常见问题解答
1. ******安装后局域网用户需要进行什么设置?
答:
******对用户和主机是完全透明的,因此用户完全无需进行任何设置。
2. ******安装后路由器需要进行什么设置?
答:
******是完全透明的加密设备,因此路由器完全无需进行任何设置。
3. ******需要使用几个IP地址?
答:
******最多需要占用一个IP地址,用于密钥协商及与密码机管理中心通信。
4. ******启动后为什么配置管理终端无显示?
答:
请检查串行设置线是否正确连接。
5. 启动后******的告警灯为何不停闪烁?
答:
告警灯闪烁为异常告警,请参见附录D《******密码机状态表》进行相应处理。