电能计量密码机增强型用户操作手册.docx

1、电能计量密码机增强型用户操作手册SJJ1009(III)电能计量密码机用户操作手册（备注： 封面是上面的文字。 封底添加地址。地址：北京市海淀区清河小营东路15号邮编：100192电话：010-57123291（技术支持） 网址：） 1产品概述电能计量密码机（以下简称密码机）是由中国电力科学研究院研制的国内第一种符合电力行业国产SM1算法的基于主机的新型计算机网络通信数据密码机。密码机在设计时结合产品在电力行业的应用特点，采用国际领先技术设计，满足了电力行业对密码机的要求。密码机属于敏感的电子设备，安装和使用前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。本手册主要包括以下章节

2、：产品清单：介绍了密码机的产品组成。产品介绍：详细介绍密码机的主要功能及性能指标。物理结构和设备安装：介绍密码机的硬件组成，指导用户完成设备安装工作。参数配置：指导用户如何配置密码机的通讯参数。进入交易状态：指导用户如何进入交易工作状态。在附录中，说明注意事项、常见故障识别等。2设备清单 请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系；本清单仅提供参考，具体以单页清单为准：名称数量密码机1台直通以太网线2根交叉以太网线2根接地线1根电源线1根用户Key2个装箱清单1张售后服务指南1本光盘（增强型密码机参数配置手册及使用操作说明）1张设备验货报告1份用户手册1本产品合格证1份螺丝和螺母5

3、套3产品介绍3.1功能密码机主要用于各地电力营销业务系统，为系统提供数据加密与安全保护。密码机支持如下功能：(1)密钥管理：密钥产生、分发、分散、存储、销毁(2)SM1数据加解密(3)对PIN的加/解密、验证及转发(4)消息来源正确性验证的产生、验证及转发(5)交易正确性验证（TAC）的产生、验证密码机具有完善的密钥管理体系，具体包括：(1)提供由全硬件噪声源产生的随机密钥(2)通过USBKey注入和备份密钥(3)物理锁防撬(4)任何时候的人工销毁密钥功能利用密码机能有效防止通信信道上的主动攻击行为。在通信网络中，线路上传输的所有数据全是经密码机加密后的密文，明文只在密码机内部出现，所有的密钥

4、也保存在密码机内部，可有效防止内外部人员的攻击。3.2技术指标3.2.1密码体制 对称密码算法：SM1,DES,3DES，支持多种运算模式 非对称密码算法：RSA 摘要算法：SHA1,SHA2563.2.2工作方式 Ethernet：10M/100M/1000M自适应3.2.3通信协议 TCP/IP3.2.4兼容标准密码机完全兼容以下标准: ANSI X3.92 数据加密算法 ANSI X9.9 信息鉴别 ANSI X9.8 PIN的管理与安全 ANSI X9.17 密钥管理 中国人民银行金融IC卡规范（PBOC规范） 智能电能表信息交换安全认证技术规范3.2.5稳定性指标以ISO 9001认

5、证体系保证产品的质量 系统平均无故障时间MTBF30000小时 3.2.6环境要求 工作温度：040 存贮温度：4055 相对湿度：20%80% 电压：220V10%, 50Hz3%3.2.7物理特性 外型：2U机架结构 体积尺寸：418 mm402 mm 88 mm 整机净重：Kg3.2.8性能指标 SM1加解密速度：85Mbps 3DES加解密速度：100Mbps 1024模长RSA签名：180次/秒 1024模长RSA验证：1000次/秒4物理结构和设备安装4.1系统结构密码机主要由以下几个部分组成：（1） 密码机基本模块：包括密码机机壳及基本处理电路，基本处理电路负责密码机任务调度和各

6、模块的协同处理，及运算处理。（2）密钥管理模块：负责密钥的产生、存贮、销毁。（3）PCI密码模块：负责密码算法的硬件运算。（4）用户接口模块：指控制接口模块，该控制口是密码机与安装控制台软件的计算机（以下简称“控制端计算机”）相连的接口，控制端计算机通过控制台软件显示菜单，并提供键盘输入，实现密钥注入、密码机参数配置以及工作状态管理。（5）通讯模块：以太网通讯接口，负责与主机的通讯功能。（6）电源模块：提供密码机内部各功能模块正常工作需要的电源。4.2设备部件图示密码机前面板如下图所示：图1 前面板示意图A LOGO B设备名称 C电源指示灯 D USB口 E控制口 密码机后面板如下图所示：图

7、2 后面板示意图A 电源插座 B 电源开关 C 电源风扇 D 触发开关 E 串口F USB口 G 散热孔 H 网口 I 机箱锁 J 加密卡K 毁钥孔 L 接地柱4.3设备安装安装密码机前，请确认满足以下条件： 接收设备与装箱清单对应且完好； 密码机电源开关处于断开位置； 确保供电电源电压稳定在220V10%范围内；具体安装步骤如下：1)将密码机放在机柜里，并固定好螺钉。2)连接通信线缆。将随机提供的工作网线一端插入机器背后的以太网口1，另一端插入集线器交换机或者是主机提供的以太网口。网口1为交易网口，在密码机处于交易处理中保证连通到交换机。注意：如果另一端接集线器或交换机时，应使用直通网线，如

8、果另一端接主机的以太网口，应使用交叉网线。通常随机器提供的是直通网线。3)控制端计算机准备将随机的光盘中的控制台软件（文件名为：CSJJ1009ConfigGui的可执行程序）复制在控制端计算机上，并将控制端计算机网络配置中增加192.168.1.xx（2254之间）， 即增加1网段IP地址。4)连接控制端计算机5)网口4为控制网口，在设置密码机参数时保证连通交换机或直连控制端计算机。再次确认电源开关处于断开状态后，连接电源线。注意：如果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用，可能损坏设备或缩短使用寿命。4.4设备开机密码机的开机顺序：确认接通电源线后，打开电源总开关（机箱后标有

9、I/O的黑色按钮），最后按启动开关（机箱后标有白点的黑色按钮）；6)上电之后，密码机会有声音提示“嘀。嘀。”提示。7)在控制端计算机的DOS命令窗口下输入“arp -d”直到出现“The specified entry was not found”。8)在控制端计算机的DOS命令窗口下输入“ping 192.168.1.1 -t”，如图3所示，一直到出现连通显示，如图4所示。图3图49)打开控制台软件，出现如下界面，提示插入开机key。10)插入开机key后进入管理界面，如图所示。其中进入2、3菜单，都会提示输入系统管理员口令，如图所示。4.5设备关机关机顺序：先关闭电源总开关，然后断开电源线

10、。4.6控制台软件按键功能密码机的控制台软件中按键分两种：功能键和数字键。其中数字键在软件每次启动后位置都会随机变化，增加了安全性。功能键包括： 返回：退回上级菜单； 复位：进入工作状态后，重启动系统； 取消：删除输入的值； 确认：确认选项，执行选择的菜单功能； 方向键：包括向左键“”、向上键“”、向右键“”、向下键“”，其中向左键与向上键功能相同，向右键与向下键功能相同，均用于选择菜单或者跳出选择； 数字键：从0F，用于输入密钥和其他数字及口令信息。4.7系统状态密码机总共有四种状态，分别是：自检状态：系统对硬件进行检测加载状态：检测密钥库状态并开始加载系统维护状态：进行密钥管理及系统维护工

11、作状态（交易处理状态）：监听通信接口，接受和处理主机请求。密码机状态变迁如下图所示：注意：只有密码机进入工作状态后，才允许接受主机发起的服务请求。5参数配置密码机支持通过控制台软件配置通讯参数，配置内容包括： 网络配置；在主菜单上选择“参数配置”功能后，系统显示如下：注意：配置后的参数，转入工作状态后才能生效，也才能保存在设备内部。5.1网络配置使用密码机的以太网接口前，需对其进行网络配置，密码机的以太网接口支持TCP/IP协议。密码机网络配置菜单选择如下：密码机网络配置包括以下功能： 设置密码机IP地址和服务端口； 防火墙配置。选择网络配置菜单后，系统显示如下：选择“设置密码机IP地址”可以

12、设置密码机IP地址、子网掩码及TCP服务端口；选择“防火墙及网关配置”，可以设置密码机缺省网关，及允许访问密码机的主机IP地址及MAC地址。5.1.1设置密码机IP地址和服务端口设置密码机IP地址菜单选择如下图所示：密码机使用的是TCP/IP标准是IPV4，设置密码机IP地址，需配置以下三个参数：密码机IP地址；子网掩码；密码机端口号密码机支持显示当前IP地址功能。选择设置密码机IP地址后，系统自动显示当前设置的IP地址、子网掩码和服务端口。配置时，如需改动配置，先按“取消”功能键，删除当前设置，配置新的参数值。选择设置密码机IP地址菜单后，系统显示如下：设置密码机IP地址步骤如下：1)按上图

13、所示选择设置密码机IP地址菜单；2)配置密码机IP地址时，分四段按顺序注入。注完一段后，如果该段有3位，则自动跳至下一段；如果不足3位，则按向右键“”，系统转至下一段开始录入。3)注入IP地址后，系统自动转到子网掩码注入，进行子网掩码注入。注意：密码机IP地址与主机IP地址使用相同子网掩码。4)注入子网掩码后，系统自动转到服务端口注入，进行密码机服务端口注入。此时，按“确认”键，完成网络配置。5)配置完成后，系统自动返回网络配置主菜单。一台密码机只支持一个IP地址，新配置的IP地址，将自动覆盖以前配置。注意：密码机的IP地址不能设置成1网段，因为1网段地址为控制使用，设置密码机IP时，请设置成

14、其他网段。5.1.2防火墙及网关配置密码机内置有防火墙，缺省状态是禁止所有主机的访问，只有系统管理员设置允许访问的主机地址和MAC地址后，才可以访问密码机。配置好密码机的IP地址与服务端口后，必须进行防火墙配置，将需访问密码机的主机IP地址和MAC地址添加在防火墙中。密码机防火墙配置提供以下功能：设置默认网关地址；添加主机IP地址；删除主机IP地址；显示已添加IP地址。防火墙配置的菜单选择如下图所示：按上图所示选择菜单后，系统显示如下：注意：首次使用密码机时，请先利用“删除主机IP地址”功能删除设定的所有IP地址。5.1.2.1设置默认网关地址密码机支持跨网段访问功能，与密码机不在同一网段的访

15、问主机，可以经过网关转发数据报文访问密码机。缺省时密码机不启动网关配置，启动密码机的网关配置，需利用“设置默认网关地址”功能将网关地址输入密码机中。设置默认网关地址的菜单选择如下图所示：选择设置默认网关地址后，系统显示如下：输入网关地址后，按“确认”键，系统返回防火墙及网关配置主界面。如果在密码机中已经配置有网关地址，则选择菜单后，系统自动显示网关地址，要修改网关地址，需先按“取消”键，再输入正确的网关地址。如果要删除以前添加的网关地址，选择菜单后，先按“取消”键，再输入000.000.000.000的网关地址。5.1.2.2添加主机IP地址添加主机IP地址菜单选择如下图所示：选择添加主机IP

16、地址菜单后系统显示如下：添加主机IP地址的步骤如下：1)按上图所示选择添加主机IP地址菜单；2)分四段注入IP地址；3)注入完按“确认”键，分六段输入对应主机的MAC地址；4)注入完按“确认”键，主机信息添加到密码机中5)继续添加其他主机IP地址；6)全部IP地址添加成功后，按“返回”功能键，系统返回网络配置主菜单。5.1.2.3删除主机IP地址当发现添加的主机IP地址输错或以前使用的IP地址不再使用，请使用“删除IP”功能删除已添加的IP地址。删除主机IP地址菜单选择如下图所示：选择菜单后，系统显示如下：在删除主机IP地址时，系统自动显示已添加的主机地址，通过使用向上键和向下键/，可以检查所

17、有添加的主机地址。当出现要删除的主机地址时，按确认键删除。检查完毕，按返回键，返回系统配置主菜单。所有主机IP地址都被删除或未添加主机时，系统显示如下：5.1.2.4显示添加的主机IP地址利用密码机提供的“显示添加的IP地址”功能，可以浏览密码机主机地址库中添加的所有主机IP地址。显示添加的主机IP地址菜单选择如下图所示：按上图所示选择显示已添加主机IP地址后，系统将显示所有主机IP地址，当一屏显示不下时，可以通过方向键使系统滚动显示。如图所示：查看完毕，使用“返回”键，系统自动返回网络配置主菜单。6进入交易状态退回到主界面，选择进入“交易处理”界面，如图所示，说明密码机已进入交易处理状态，该

18、状态也可以通过系统功能的信息查询选项查询到。附录A 注意事项1)请勿带电插拔密码机电缆，以免损坏接口。2)处于交易处理状态下的密码机重新上电后，听到“嘀。嘀。”提示音后插入开机USBKey直接进入交易处理状态；如果需要修改交易处理状态下密码机的参数，则应遵循以下操作顺序：密码机控制口网线连接控制端计算机、密码机上电、确认控制端计算机与密码机连通（参见本手册4.4）、打开控制台软件、听到密码机“嘀。嘀。”提示音后插入开机USBKey进入主界面、修改参数。3)根据相关部门规定，密码设备不得擅自开启。密码机设计时带有开箱自毁装置，请勿自行打开密码机机箱，以免密码机启动自毁程序。4)正常使用的密码机在

19、运行过程中出现故障后，首先按照附件B中的常见故障判断和处理，无法自行处理的，在联系我公司的技术支持后，需要将设备返厂处理时应先毁钥再发货。密码机在正常运行过程中，请谨慎使用毁钥功能。第一次配置IP地址时，先删除所有旧的主机地址，再进行地址配置。5)严格控制添加的主机IP地址，严禁将不需访问密码机的主机IP地址添加至密码机。注：对违反上述要求，造成密码机故障或其他事故，我公司不承担责任。附录B 常见硬件故障识别与排除本书不是密码机维修手册，本部份内容主要是便于用户正确识别密码机故障现象，以共同促进我单位产品和服务质量，当密码机出现故障时，不提倡用户自己解决，特别是不得开启机箱。故障现象一：加电后

20、没有任何反应故障识别步骤：插卡口右侧的红灯是否闪烁；如果无反应，请查看密码机背面的电源风扇是否转动；如果电源风扇未见转动，请确认电源盒供电是否正常，如供电正常，请关闭设备电源开关，3分钟后再重新打开。如此时工作正常，说明刚才的故障原因是电源不稳定或频繁开关机，使电源模块处于自动保护模式。如仍不能工作，说明，设备电源已出现故障。开机后红灯闪烁，请在打开电源后，仔细注意2分钟内有无“吱”的一声叫（声音很小），如果只有一声，说明设备硬件自检通过，启动模块出现故障。故障现象二：不能毁钥故障处理步骤：确信毁钥按钮被按下足够长时间，毁钥时间是毁钥按钮被按下十秒。如果时间不到十秒，请重新毁钥，如果已达到十秒

21、，请关掉电源，毁钥二十秒如仍不能毁钥，估计出厂时调试工程师未将设备从调试状态恢复到正常工作状态，请与我单位联系，我单位将尽快派人将设备状态调整为正常状态。本故障不会影响到贵公司对设备的正常使用，请将新注的密钥做好备份工作，可继续使用设备。故障现象三：以太网通信失败故障处理步骤：首先请确认主机程序配置正常，在hsm.conf（UNIX系统）或 hsm.ini（WINDOWS系统）文件中，密码机地址与密码机实际配置地址一致；确认主机以太网及连接线工作正常；查看密码机后面板上以太网接口状态指示灯，如果指示灯不亮，说明未正确连接或密码机以太网接口未工作；利用其他方法确认连接线没有问题，如果连接没问题，状态灯仍无指示，说明密码机以太网接口出现故障；如果连接正常且以太网状态指示灯正常，请继续下面步骤；复位密码机，查看密码机主机地址库，确认是否已经将该主机IP地址输入密码机中；如果密码机主机地址库没有该主机地址，请重新注入主机地址；如果密码机主机地址库中已有该机地址，请与我单位联系。