东进SJJ1617加密机简要管理手册.docx

1、东进SJJ1617加密机简要管理手册东进金融数据密码机SJJ1617简要管理手册目录1.密码机与管理终端的连接 32.启动管理工具DJHSM.exe 33.管理权限与角色 54.原始初始化 54.1.注入设备主密钥DMK 54.2.制作开机卡 75.对称密钥管理 105.1.产生随机密钥 105.2.成份合成密钥 115.3.删除密钥 125.4.删除所有密钥 125.5.导出密钥列表信息 135.6. ZMK保护导出密钥 135.7. ZMK保护导入密钥 146.非对称密钥管理 146.1.产生随机密钥 156.2. 2. 删除密钥 166.3. 3. 删除所有密钥 166.4. 4. 导出

2、密钥列表信息 16东进金融数据密码机（SJJ1617）是经过国密局认证、符合GM/T 0045-2016金融数据密码机技术规范、具有物理安全保护措施的金融数据硬件加密设备。SJJ1617支持SM2、SM3、SM4国密算法，并兼容国际算法，广泛应用于金融、社保等领域。1. 密码机与管理终端的连接东进金融数据密码机（SJJ1617）的业务应用和管理采用不同的网络端口，分别是LAN1和LAN2，分别连接业务应用系统和管理终端，如下图所示。网络端口描述如下表所示：端口种类端口标识功能默认IP地址和端口号业务应用端口LAN1连接业务应用系统192.168.10.200：8018管理端口LAN2连接管理终

3、端192.168.11.200：8013东进金融数据密码机（SJJ1617）通过LAN2口连接管理终端，实现对密码机的维护管理。东进金融数据密码机（SJJ1617）支持通过串口连接管理终端，利用USB转串口线，将金融数据密码机管理串口COM2连接至管理终端的USB接口上。2. 启动管理工具DJHSM.exe东进金融数据密码机（SJJ1617）提供专用的设备管理客户端软件，基于windowsOS，运行管理终端上，完成对密码机的维护管理功能。客户端管理工具的主界面如下：管理功能菜单栏状态栏操作显示界面1，密码机客户端软件的管理功能包括： 登录：串口连接、TCP连接、断开连接、修改登录口令； 超级管

4、理：设备主密钥的导入（原始初始化）和恢复操作、测试主密钥的导入（出厂初始化）、获取DMK校验值、导出设备主密钥DMK成份；用户管理（用户的添加、删除和重置登录口令）；应用密钥的备份及恢复操作； 密钥管理：对称密钥和非对称密钥的管理（包括密钥的产生，删除等功能）； 配置设备：包括可信客户端的添加删除操作、主机端口设置、管理端口设置、打印端口设置、设备时间设置；配置信息的导出到IC卡和从IC卡导入到加密机中； IC卡管理：IC卡的格式化、修改IC卡口令、获取IC卡信息； 日志管理：日志的配置、导出日志、查看日志和清除日志； 设备状态：设备连接信息、设备自检和设备基本信息； 系统维护：超级维护和加密

5、机服务升级；2，操作显示界面：显示管理客户端上的所有操作过程和响应结果信息；3，状态栏：主要显示操作者的身份（例如：超级管理员或者管理员）、加密机的主机服务状态（例如：无主密钥或者工作状态等）；管理工具所有的操作都会记录在日志中，日志文件的路径在DJHSM.exe同级目录下log/ DJHSM_Log_time.txt，若是直接执行光盘上的DJHSM.exe，则不记录日志文件。3. 管理权限与角色东进金融数据密码机（SJJ1617）采用智能IC卡进行安全管理，密码机角色分为：超级管理员、管理员、操作员和审计员。密码机角色的权限分配如下表所示：密码机角色操作权限超级管理员管理员操作员审计员初始化

6、-密钥备份及恢复-用户权限管理-IC卡管理-系统维护-应用密钥管理-配置设备-日志审计-查看设备状态4. 原始初始化密码机正式使用前，必须进行注入设备主密钥DMK操作，即原始初始化。原始初始化生成DMK成份卡并注入DMK后，会同时制作开机卡并创建各类型管理用户。除超级管理员使用DMK成份卡登录认证之外，其它类型管理用户都需要制作用户IC卡用来登录认证。通常情况下，DMK成份卡配置3张，管理员、操作员和审计员可配置1张IC卡。原始初始化流程如下图所示：4.1. 注入设备主密钥DMK步骤1：用超级管理员登录，点击“原始初始化”按钮，系统弹出警告提示框。该操作将清除设备内的全部密钥，若要继续则拨动密

7、码机前面板的状态锁到“安全”模式，勾选继续，点击“下一步”。步骤2：根据DMK成份即超级管理员人数（3 8人）确定成份卡数目，点击“下一步”。步骤3：制作成份卡。制作成份卡时，由成份卡持有人两次输入预定义的密钥值（8-32个任意字符），同时插入要制作的成份IC卡并输入卡片口令，点击“产生成份卡”按钮，密码机将计算得到的成份数据写入IC卡；同上根据提示依次制作n张（在第一步中确定的数目）成份卡后，点击“下一步”。步骤4：导入DMK成份到密码机内。按照提示插入一张刚刚制作好的成份卡并输入口令，点击“导入成份卡”按钮即可；同上导入n张成份卡，成份卡的导入与次序无关，但不能将同一张成份卡导入多次。4.

8、2. 制作开机卡开机启动时必须插入正确的开机卡，密码机才能提供正常的密码服务，开机卡为一机一卡。依照提示，插入要制作的开机卡，输入IC卡口令，点击“下一步”完成开机卡的制作，设置超级管理员登录密码。依照提示，输入超级管理员密码，点击“下一步”。在此可以选择增加管理员、操作员、审计员，也可以选择不增加用户，等需要的时候，用超级管理员登录，在超级管理-用户管理下增加用户。不过一般情况下会在此增加用户。选择制作管理员卡，点击下一步进入增加用户的操作；每一个管理员用户可制作多张卡，通过多人分别持卡，操作时同时到场的方式，提供更安全的访问控制机制。通常情况下，每个管理员用户可制作一张卡。确定IC卡数目并

9、输入用户名和用户名口令，点击下一步；按照提示插入一张管理员IC卡并输入管理员IC卡口令，点击“确认输入”按钮。点击“下一步”进入设置制作操作员界面和审计员界面，界面和制作管理员的界面一致，参考制作管理员步骤完成操作员和审计员的制作；请插入开机卡后，点击“完成”按钮结束原始初始化操作，将安全状态锁拨回常规模式（即工作模式）。如果完成原始初始化操作时忘记插入开机卡，则需要插入开机卡后，手动断电重启密码机以使新密钥生效。5. 对称密钥管理对称密钥管理操作包括：产生随机密钥、成份合成密钥、删除密钥、删除所有密钥和由ZMK保护导入导出应用密钥，支持将密钥列表信息导出到本地文件中。用管理员登录管理客户端工

10、具，在密钥管理下，点击“对称密钥管理”，系统将列举当前已存在的密钥信息：5.1. 产生随机密钥点击“产生随机密钥”按钮，用户可根据需要选择要产生密钥的密钥类型、算法标识、是否存储在密码机内，输入密钥索引、密钥标签，点击“产生”，密码机将产生新的随机密钥，并显示密文和校验值；若勾选了“存储到密码机内索引”，则自动将产生的密钥存储到指定的索引中。5.2. 成份合成密钥步骤1：点击“成份合成密钥”按钮，用户可根据需要选择合成密钥的密钥类型、算法标识、成份数目、是否存储在密码机内，输入密钥索引和密钥标签，点击下一步。步骤2：输入合成密钥的成份值。按照提示输入2次成份值，点击下一步，完成一个成份的输入，

11、依次输入N个密钥成份，完成密钥合成。步骤3：显示密钥合成的结果，即显示LMK加密的密钥密文和密钥校验值。如果勾选了“存储到密码机内索引”，则自动将新合成的密钥存储到指定索引中，覆盖原内容。5.3. 删除密钥在密钥列表中选择要删除的密钥，可以选择一条或多条，点击“删除密钥”按钮，系统将弹出确认提示框，点击“是”确认删除，密码机将删除选定的密钥；5.4. 删除所有密钥点击“删除所有密钥”按钮，系统将弹出提示框，点击“是”确认全部清除，密码机将清除全部对称密钥。5.5. 导出密钥列表信息点击“导出列表信息”按钮，管理工具将把对称密钥列表中的所有信息导出写入到本地文件keylist.txt（DJHSM

12、可执行程序所在目录下），采用追加模式写入；5.6. ZMK保护导出密钥点击“ZMK保护导出”按钮，可以使用选择加密机内存储的ZMK保护导出需要导出的的密钥：也可以使用外部输入的ZMK在LMK下加密的密文去保护导出在LMK下加密的密钥密文：5.7. ZMK保护导入密钥点击“ZMK保护导入密钥”按钮，可以通过ZMK保护导入外部输入的在ZMK下加密的密钥密文并可选的存储到加密机内：6. 非对称密钥管理非对称密钥管理操作包括，产生随机密钥、删除密钥和删除所有密钥，支持将密钥列表信息导出到本地文件中。用管理员登录管理终端工具，在密钥管理下，点击“非对称密钥管理”，系统将列举当前已存在的密钥信息。6.1.

13、 产生随机密钥点击“产生新密钥”按钮，用户可根据需要选择要产生密钥的算法标识、是否存储在密码机内，输入密钥索引、密钥标签，点击“产生”。密码机将产生新的非对称密钥，并显示公钥明文和私钥密文；若勾选了“存储到密码机内索引”，则自动将新产生的密钥存储到指定索引中，覆盖原内容。6.2. 2. 删除密钥在密钥列表中选择要删除的密钥，可以选择一条或多条，点击“删除密钥”按钮，系统将弹出确认提示框，点击“是”确认删除，密码机将删除选定的密钥。6.3. 3. 删除所有密钥点击“删除所有密钥”按钮，系统将弹出提示框，点击“是”确认删除全部密钥，密码机将清除全部非对称密钥。6.4. 4. 导出密钥列表信息点击“导出列表信息”按钮，管理工具将把非对称密钥列表中的所有信息导出写入到本地文件keylist.txt（DJHSM可执行程序所在目录下），采用追加模式写入；