SJL05金融数据加密机 用户手册 20.docx

SJL05金融数据加密机 用户手册 20.docx

《SJL05金融数据加密机 用户手册 20.docx》由会员分享，可在线阅读，更多相关《SJL05金融数据加密机 用户手册 20.docx（16页珍藏版）》请在冰点文库上搜索。

SJL05金融数据加密机用户手册20

1产品概述1

2设备清单1

3产品介绍2

3.1主要功能2

3.2技术指标4

3.3密码体制4

3.4工作方式4

3.5兼容标准4

3.6环境要求4

3.7物理特性5

4设备安装5

4.1安装条件5

4.2密码机示意图5

4.3密码机硬件安装方法6

4.4控制台终端管理程序安装方法7

5控制台终端操作8

5.1基本信息8

5.1.1版本查看8

5.2参数设置9

5.2.1打印端口配置9

5.2.2交易端口配置10

5.2.3特殊授权控制11

5.2.4设置通信格式12

5.3网络配置13

5.3.1安全访问设置13

5.3.2设置密码机IP地址17

5.3.3设置密码机路由20

5.4密钥管理23

5.4.1密钥注入23

5.4.2本地主密钥校验值32

5.4.3密钥备份恢复32

5.5密钥产生34

5.5.1随机密钥34

5.6口令和令牌管理35

5.6.1key操作35

5.7恢复出厂设置37

5.7.1销毁密钥37

附录A密码机提示音38

1产品概述

SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范（PBOC）的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。

该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。

鉴定委员会一致认为：

“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值”。

SJL05在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代Racal、Atalla等国外加密设备的首选国内产品。

SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能，主要用于各地金融信息系统，尤其是对进行跨行交易的ATM／POS联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据的通信服务，防止网上的各种欺诈行为发生。

加密机属于敏感的电子设备，安装和使用SJL05前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。

2设备清单

请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系；

名称

数量

SJL05金融数据加密机

壹台

直通以太网线（灰色）

两根

交叉以太网线（蓝色）

两根

产品合格证

壹张

装箱清单

壹张

电源线

壹根

用户手册

壹本

用户Key

陆个

光盘

壹张

注：

本清单仅提供参考，具体以包装箱中的装箱清单为准。

3产品介绍

3.1主要功能

SJL05主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。

除此之外，还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。

SJL05在金卡网络中的配置如下图所示：

SJL05支持如下功能：

Ø由硬件完成数据加解密

Ø对PIN的加/解密、验证及转发

Ø消息来源正确性验证（MAC）的产生、验证及转发

Ø交易正确性验证（TAC）的产生、验证

ØPVV、CVV计算和验证等

利用SJL05能有效防止通信信道上的主动攻击行为。

在金融网络中，线路上传输的所有数据全是经加密机加密后的密文，明文只在加密机内部出现，所有的密钥也保存在加密机内部，可有效防止内外部人员的攻击。

下面以有中心模式的跨行交易中个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：

PIN在ATM/POS跨行交易的流程

其中：

Ø顾客输入私人密码

Ø传送被ATM/POS加密的私人密码

Ø收卡行转换私人密码

Ø传送被收卡行加密的私人密码

Ø交换中心转换私人密码

Ø传送被交换中心转换后的私人密码

Ø发卡行校验私人密码

3.2技术指标

3.3密码体制

Ø完整的安全保密体系结构

Ø支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法

ØCBC加密方式同时实现保密性与完整性

Ø完善的密钥管理系统

3.4工作方式

ØEthernet：

10M/100M/1000M自适应

ØTCP/IP

3.5兼容标准

SJL05完全兼容以下标准:

ØANSIX3.92数据加密算法

ØANSIX9.9信息鉴别

ØANSIX9.8PIN的管理与安全

ØANSIX9.17密钥管理

ØANSIX9.19零售金融信息的鉴别

Ø多种ATM机用户密码格式

Ø中国人民银行金融IC卡规范（PBOC规范）

3.6环境要求

Ø工作温度：

0℃～40℃

Ø存贮温度：

－40℃～55℃

Ø相对湿度：

20%～80%

Ø电压：

220V?

10%,50Hz?

3%

3.7物理特性

Ø外型：

卧式机箱；

Ø体积尺寸：

430mm×400mm×88mm

Ø整机净重：

8Kg

4设备安装

4.1安装条件

安装密码机前，请确认满足以下条件：

1.接收设备与装箱清单明细对应且完好无损；

2.密码机电源开关处于断开位置；

3.一台安装有WINDOWS系统的PC机；

4.确保输入电源电压稳定在220V?

10%范围内。

4.2密码机示意图

密码机前面板如下图所示：

图1前面板示意图

A：

LOGOB：

设备名称C：

电源指示灯D：

状态指示灯

E：

USB1F：

USB2G：

控制口

图2后面板示意图

A：

电源插座B：

电源开关C：

电源风扇D：

触发开关E：

串口（打印口）

F：

USB口G：

散热孔H：

网口I：

机箱锁J：

加密卡

K：

毁钥孔L：

接地柱

4.3密码机硬件安装方法

1.将密码机放在机柜里，并固定；

2.连接通信线缆。

TCP／IP通信接口：

将随机提供的网线一端与密码机背后的ETH1连接，另一条网线与密码机的ETH4连接。

网线的另一端插入集线器／交换机或者是主机提供的以太网口。

注意，如果另一端接集线器或交换机时，应使用直通网线，如果另一端接主机的以太网口，应使用交插网线。

确认电源开关处于断开状态后，连接电源线。

注意：

如果电源开关处于闭合状态，由于插入电源插头的瞬间高压作用，可能损坏设备或缩短使用寿命。

3.打开电源开关。

此时前面板的电源状态灯红色，打开触发开关。

4.约数秒钟后，系统检测加密机状态，并开始加载系统，状态指示灯红色。

5.系统加载完毕后，密码机一声长响，状态指示灯橙色，此时表明系统已加载完毕。

密码机间隔1秒长响一声，可插入开机key，初次启动连接控制台终端，根据提示插入开机KEY，插入KEY后开机认证，进入维护状态，可以通过控制台管理密码机，并随时可以选择进入工作状态（或者直接进入工作状态）。

4.4控制台终端管理程序安装方法

控制台终端管理程序是应用于SJL05金融数据加密机的一个终端控制台应用程序，用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处理前的配置和管理。

该软件需要运行在win2k/xp的操作系统中，支持TCP/IP通信方式对密码机进行远程控制操作。

安装：

运行安装光盘中的“Setup.exe”,安装控制台终端管理。

运行方式：

点击应用程序图标"终端管理程序.exe"，程序显示下图所示初始化界面：

图3.

图4.管理终端主界面

主界面中包含有七个功能标签页，分别为:

基本信息、参数设置、网络配置、密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。

5控制台终端操作

5.1基本信息

5.1.1版本查看

在控制台终端管理程序的主菜单中，启动后的缺省页面即是“版本查看”。

其中显示了密码机的当前版本。

图5版本查看

5.2参数设置

参数设置是对打印端口和授权控制进行配置。

5.2.1打印端口配置

选择打印端口的类型，如果是端口类型为串口则还需要选择串口号；设置是否启动打印。

对设置做出修改后点击“确定”提交设置。

注意：

注入银行专有密钥或IC卡注入密钥时，系统会停止打印服务，操作完成后需要在此处手动启动打印。

图6打印端口配置

5.2.2交易端口配置

在该页面设置交易端口。

图7交易端口配置

5.2.3特殊授权控制

对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制，勾选需要授权的选项点击“确定”提交设置。

图8特殊授权控制

5.2.4设置通信格式

可以对长度域、消息头长度、消息尾长度、编码格式进行设置，设定完以后点击“确定”按钮提交。

图9设置通信格式

5.3网络配置

网络配置主要对密码机的IP、安全访问控制、路由信息进行配置。

5.3.1安全访问设置

安全访问设置功能制定针对客户机的访问策略。

改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态，信息如下图所示。

图10安全访问设置

5.3.1.1添加安全访问类型

点击

按钮添加安全访问类型，窗口如下图所示，在窗口中选择要设置的安全访问控制类型，可选择对“多台主机”、“单台主机”进行设置，点击确认后完成添加。

图11对多台主机增加访问控制的IP地址

图12对单台主机增加访问控制的IP地址

5.3.1.2编辑

选择列表中要编辑的项，点击

按钮进行编辑，窗口如下图所示，在源地址中输入要访问加密机的IP地址，在目的地址中输入加密机IP地址。

图13编辑安全访问IP

5.3.1.3删除

选择列表中要删除的规则，点击

按钮删除该规则，窗口如下图所示

图14删除安全设置记录

5.3.2设置密码机IP地址

设置密码机IP地址。

正常的规则都标记为

，编辑过或是新加入的规则都会标记为

，提交失败的规则都标记为

。

改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。

图15设置加密机IP地址

5.3.2.1添加

点击

按钮添加新规则

图16添加接口

5.3.2.2编辑

选择列表中要编辑的项，点击

按钮进行编辑

图17编辑接口

5.3.2.3删除

选择列表中要删除的项，点击

按钮删除该规则

图18删除接口

5.3.3设置密码机路由

密码机路由功能修改密码机的路由表。

改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。

图19设置加密机路由

5.3.3.1添加

点击

按钮添加新规则

图20添加加密机路由

5.3.3.2编辑

选择列表中要编辑的项，点击

按钮进行编辑

图21编辑加密机路由

5.3.3.3删除

选择列表中要删除的项，点击

按钮删除该规则

图22删除加密机路由

5.4密钥管理

密钥管理主要包括“密钥注入”、“密钥备份恢复”两大功能。

5.4.1密钥注入

根据用户输入的密钥分量注入各种密钥。

5.4.1.1本地主密钥

运行终端管理程序，选择密钥管理中的“本地主密钥”。

“本地主密钥”主界面如图所示。

依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。

如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。

当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击

“完成”结束该操作。

图23密钥分量1

图24密钥分量2

图25密钥分量3

图26注入密钥成功

5.4.1.2区域主密钥

运行终端管理程序，选择密钥管理中的“区域主密钥”。

“区域主密钥”主界面如图所示。

选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。

如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。

当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击

“完成”结束该操作。

图27密钥分量1

图28密钥分量2

图29密钥分量3

图30密钥注入成功

5.4.1.3终端主密钥

运行终端管理程序，选择密钥管理中的“终端主密钥”。

“终端主密钥”主界面如图所示。

选择需要的“密钥长度”，填写“密钥索引”，依次输入“密钥分量1”、“密钥分量2”、“密钥分量3”。

如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。

当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。

图31密钥分量1

图32密钥分量2

图33密钥分量3

图34密钥注入成功

5.4.1.4Key注入密钥

选择密钥管理中的“key注入密钥”。

主界面如下图所示。

选择需要的“密钥类型”，依次输入“分量个数”、“密钥分量1口令”。

如果同一密钥分量的两次输入一致则“CheckValue”文本框会显示对应密钥分量的CheckValue,并且下一个步按钮也会被激活，点击“下一步”开始下一个密钥分量的输入。

当完成最后一个密钥分量的输入后点击“确定”开始注入密钥，如果注入成功则点击“完成”结束该操作。

图35key注入密钥

5.4.2本地主密钥校验值

图36本地主密钥校验值

5.4.3密钥备份恢复

备份密码机中所有密钥对到USB-Key中或从USB-Key中恢复密钥到密码机。

5.4.3.1备份密钥

选择密钥类型，点击“备份密钥”选择钮切换到“备份密钥”功能，在“口令”和“确认口令”中输入一致的密码，把USB-Key插入到密钥机中，点击“备份”按钮开始备份操作。

图37备份密钥

5.4.3.2恢复密钥

选择密钥类型，点击“恢复密钥”选择钮切换到“恢复密钥”功能，在“口令”中输入密码，把USB-Key插入到密钥机中，点击“恢复”按钮开始恢复操作。

图38恢复密钥

5.5密钥产生

5.5.1随机密钥

运行终端管理程序，选择密钥管理中的“随机密钥”。

“随机密钥”主界面如下图所示。

首先，选择“密钥长度”，然后在“其它选项”中选择相应选项，点击“确定”开始产生随机密钥，产生成功后相应的文本框中会显示密钥相关信息。

若密钥分量值设定大于1，则每点击“确定”按钮一次，产生一个对应的密钥数据信息。

图39随机密钥

最后，点击“完成”结束操作。

5.6口令和令牌管理

5.6.1key操作

初始化开机Key或修改备份Key口令。

key操作主界面如下图所示。

5.6.1.1初始化Key

点击“初始化Key”按钮切换到“初始化Key”功能，选择Key类型，点击“初始化”按钮开始初始化操作。

执行初始化Key操作后，必须重新启动加密机。

图40key初始化操作

5.6.1.2修改备份Key口令

点击“修改备份Key口令”按钮切换到“修改备份Key口令”功能,在“旧口令”中输入Key的原有口令，在“新口令”和“确认新口令”中输入一致的新口令，点击“修改”按钮开始修改操作。

图41修改备份key口令

5.7恢复出厂设置

5.7.1销毁密钥

第一次使用时，请先设置毁钥口令，初始“旧口令”为空。

输入毁钥“旧口令”和“新口令”，点击“修改”，便可完成毁钥口令修改。

输入毁钥口令，点击“毁钥”按钮，完成毁钥；

图42销毁密钥

附录A密码机提示音

提示音

内容

一声长音

插入KEY（IC卡）或换KEY（IC卡）

两声短音

KEY（IC卡）操作成功

四声短音

KEY（IC卡）操作失败

一声长音一声短音

换KEY（IC卡）