加密机使用手册Word格式.docx

1、2.5 注意事项9第三章 密钥管理哑终端使用说明103.1 使用说明10第四章 加密机配置114.1 设置加密机 IP114.2 查看、添加和删除客户端 IP114.3 设置加密常用设置124.4 查看加密机 IP 地址、网关和子网掩码12第五章 超级管理员，管理员和维护权限135.1 加密机权限分类135.2 进入相应管理权限状态135.3 超级管理员，管理员以及维护员的权限。135.3.1 超级管理员权限135.3.2 管理员权限135.3.3 维护员管理员权限145.5 制作三种权限卡145.5.1 IC 卡的格式化145.5.2 超级管理员卡的制作154.5.3 管理员权限卡的制作17

2、5.5.4 维护员权限卡的制作18第六章 密钥注入196.1 加载主密钥196.2 注入功能密钥206.2.1 产生随机的功能密钥206.2.2 产生密钥命令 FK。216.2.3 明文分量类索引密钥注入22附录24附录 1 所有终端命令功能表24附录 2 LMK 表25附录 3 密钥类型表27第一章 支付服务密码机简介支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。此密码机设计可靠，结构合理，使用方便，外型美观。1.1 密码机的功能支付服务密码机是金融网络安全系统的重要组成部分之一，主要的功能是实现对网络上传输的信息进行保护或鉴别，以保

3、证金融信息的正确性，能够有效防止对通信数据的非法窃取或篡改。1.2 密码机的技术特点 用于 TCP/IP 协议。 所有密钥库的自动维护功能，包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。 密码机具有完善的密钥保护功能，即使掉电,也能保护好密钥不被丢失；另外还有非法操作时的密钥销毁功能。 具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复。 可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有完善的人机交互界面。1.3 密码机的技术指标接口方式：RJ/45 及 RS232 传输速率：10M/100M/1G 自适应工作电压：220V25、5

4、0HZ 功耗：85W可 靠 性：MTBF 40,000h1.4 密码机的外形结构图一：密码机前视图说明、IC 卡插座此处是管理密码机的 IC 卡的插入口、密钥销毁锁紧极时可销毁密钥、电源灯当密码机接通电源时，电源灯亮、工作灯当密码机正进行加、脱密等安全处理时，加密灯亮、报警灯当密码机处于非正常状态时，报警灯亮，并伴有报警声图二：密码机后视图说明1、电源开关按钮控制对密码机的电2、交流电源插座3、机仓后锁技术人员由此打开机箱维护密码机（用户请勿私自打开，否则可能造成严重后果）4、RS-232C 9 芯插座 25、TCP/IP 接口 26、TCP/IP 接口 17、并口（接并口打印机用）8、RS-

5、232C 9 芯插座 1第二章 支付服务密码机的使用2.1 密码机的配套清单 密码机一台 使用说明书一本 220V交流电源线一根 IC卡一套（6张） 串口线一根2.2 密码机的安装2.2.1 安装步骤第一步密码机通过 TCP/IP 接口与主机连接，即可进入生产环境。第二步固定好线缆的两端，以保证其良好的接触和安全。第三步接上 220V 的交流电源线，打开密码机交流电源开关。2.2.2 密码机的初始化在哑终端上进行如下初始化（连接方法见第 3 章）：为密码机分配 IP 地址、网关及子网掩码；为密码机分配一个通信端口；为密码机分配一个客户；为密码机设置 PIN 长度、消息头长度、字符编码等。2.2

6、.3 注入密钥密码机在使用之前应先注入密钥。如果没有注入密钥，密码机起动后会报警。在哑终端上进行如下操作：（方法见第 3 章）完成密码机三张超级权限卡的制作，再从三张超级权限卡中导入主密钥三个成份，在密码机中自动合成主密钥。2.3 密码机各部分的说明2.3.1 IC 卡插座密码机采用推推式 IC 卡座。将密码机专用卡的触片面向上、向前，按照 IC 卡上标示的方向，对准插座方向适当用力推入即可操作， 再轻推一下即可弹出，此时才可以拔出 IC 卡。2.3.2 密钥销毁锁用于销毁密钥。销毁密钥时，先将密码机电源关闭，然后密钥销毁锁转至销毁状态，1 秒后密钥销毁。2.3.3 机仓后部的锁用来固定机仓。

7、2.3.4 蜂鸣器密码机内部还装有蜂鸣器，用于异常时报警或者在有些操作过程中给予声音提示。2.4 密码机的接口密码机有 3 个接口：2 个以太网口，1 个串口。2.5 注意事项密码机必须注入密钥才能正常工作。严禁带电打开密码机的机仓和拨/插通信线缆。严禁强电流、高电压对密码机的冲击。密码机不能正常工作时，请填好保修单，及时与供应商联系，以便进行检查、维修。若 IC 卡损坏，严禁随便丢弃，必须交还给配发单位，由配发单位统一处理。第三章 密钥管理哑终端使用说明3.1 使用说明打开密码机前请用密码机配套串口线缆连接哑终端串口和密码机COM1 端口（CONSOLE 端口）。连接方法：用哑终端连接线缆连

8、接 PC 机的串口和密码机的 COM1 端口。测试过程中用 PC 机上 Windows 自带的“超级终端”软件，模拟哑终端。在 Windows 桌面环境下依次点击：开始所有程序附件通信 超级终端，运行“超级终端”。超级终端设置：9600bps、8 位数据位、1 位停止位、无奇偶校验位。第四章 加密机配置4.1 设置加密机 IP超级终端与加密机连接好，在 HSM-AUTH3提示符下执行 list命令，将会显示加密机自带的所有终端命令：a acn acyad b c card cardkey cc ch check checkkey ck clearallkey cls copy cp cs ct

9、 cv des ec fc fk gc help history ip iv ka kb ke key kg ki list lk lo loadmk loadtestkey ltk mk mkadminister mksuper mkworker port printer prt pv pw qh qp rand rc reboot renew sf ver wk在 HSM-AUTH3提示符下执行 IP 命令：HSM-AUTH3ipEnter IP address:10.8.2.8Enter Default Gateway:10.8.2.254 Enter Subnet mask:255.2

10、55.255.0 按回车键，加密机 IP 设置成功。4.2 查看、添加和删除客户端 IP提示符下执行 ct 命令:1. 192.168.1.2442. 200.200.200.244Addaclient/Deleteaclient/deleteallClients A/D/C:选择 A、D、C 完成客户端 IP 的添加和删除。4.3 设置加密常用设置提示符下执行 ch 命令:该命令功能设置 PIN 长度， 消息头长度，打印方式以及字符编码方式。chPin Length 4-12:6Message Header Length 0-99:0 Printer Response 1-2:1 Ascii

11、/Ebcdic/IBM5250 A/E/I:A Password/Clear P/C:P4.4 查看加密机 IP 地址、网关和子网掩码提示符下执行 qh 命令： 当执行 qp 后，加密机输出如下信息：qpIP address:10.8.2.8 Default Gateway:10.8.2.254Subnet mask:255.255.255.028第五章 超级管理员，管理员和维护权限5.1 加密机权限分类由于加密机的终端命令涉及到加密机的密钥以及加密机的相关配置，从安全方面考虑，加密机管理权限分 3 种：超级管理员，管理员以及维护权限。不同权限身份的管理人员对加密机执行的操作不同。5.2 进入

12、相应管理权限状态当用超级终端连接加密机时，默认的是维护管理员权限，如果要进入超级管理员和管理员全选，需要执行终端命令 a ，按照提示插入 IC 卡，输入 IC 卡口令的过程中，加密机会计算出 IC 中的校验值与密码机中存储的校验值做比较，然后进入相应的管理权限状态。5.3.1 超级管理员权限超级管理员拥有最高权限，能执行所有的终端命令。（终端命令功能见附录 1）5.3.2 管理员权限管理员权限能执行加密了提供的大部分终端命令，权限如下：a，b，c，card，cc，ch,check,ckeckkey,ck,cls,ct,cv,des,ec，f c,fk,gc,ip,iv,ka,kb,ke,key,kg,ki,mkworker,port ,printer, prt,pv,pw,qh,qp,rand,rc,ver,wk,history5.3.3 维护员管理员权限维护员权限很低，只能执行仅有的几条终端命令，权限如下：a,card,check,checkkey,des,history,qh,qp,rand,rc,ver这些终端命令基本上是一些查看加密机相关设置的命令。5.5 制作三种权限卡5.5.1 IC 卡的格式化在制作权限卡之前，必选将 IC 卡格式化，格式化终端命令 fc， 示例如下：fcSomething in the card, Conti