加密机.docx
《加密机.docx》由会员分享,可在线阅读,更多相关《加密机.docx(13页珍藏版)》请在冰点文库上搜索。
![加密机.docx](https://file1.bingdoc.com/fileroot1/2023-5/5/bd49f65a-6e65-4707-9e99-3c18827d0ab5/bd49f65a-6e65-4707-9e99-3c18827d0ab51.gif)
加密机
加密机安装调试
a)加密机配置
设置加密机IP
在HSM-AUTH3>提示符下执行IP命令:
HSM-AUTH3>ip
EnterIPaddress:
XXX.XXX.XXX.XXX
EnterDefaultGateway:
XXX.XXX.XXX.XXX
EnterSubnetmask:
XXX.XXX.XXX.XXX
按回车键,加密机IP设置成功。
查看加密机IP地址、网关和子网掩码
在HSM-AUTH3>提示符下执行qp命令:
当执行qp后,加密机输出如下信息:
HSM-AUTH3>qp
IPaddress:
XXX.XXX.XXX.XXX
DefaultGateway:
XXX.XXX.XXX.XXX
Subnetmask:
XXX.XXX.XXX.XXX
查看、添加和删除客户端IP
需要将清算前置系统的IP地址增加进来,如果做了热备或者HA,则需要将两台服务器的IP都添加进来。
在HSM-AUTH3>提示符下执行ct命令:
1.192.168.1.244
2.200.200.200.244
Addaclient/Deleteaclient/deleteallClients[A/D/C]:
选择A、D、C完成客户端IP的添加和删除
增加客户端:
Addaclient/Deleteaclient/Deleteallclients[A/D/C]:
A
EnternewclientIPaddress:
XXX.XXX.XXX.XXX
AddclientIPaddresssuccess!
删除客户端:
Addaclient/Deleteaclient/Deleteallclients[A/D/C]:
D
EnterclientIPaddressorlinenumber:
XXX.XXX.XXX.XXX
DeleteclientIPaddresssuccess!
b)合成成员行主密钥及行内PIK密钥
合成成员行主密钥(ZMK)
此密钥用于中心加密工作密钥(zak/zpk)下发给成员行。
由中心端打印明文码单下发。
功能密钥的密文是通过PC超级终端执行fk终端命令得到,fk终端命令是用成份合成密钥。
SJL06-AUTH3>fk
Keylength64/128/192[1/2/3]:
2
Keytype:
000
ComponentTypeClear/Encrypted[C/E]:
C
EnternumberofComponents(2-9):
2
Entercomponent1:
********************************
Entercomponent2:
********************************
EncryptedKey:
48864EA979EE933748864EA979EE9337
Keycheckvalue:
82E13665B4624DF5
将加密机返回的密钥密文(EncryptedKey)及校验值(Keycheckvalue)记录,同时比对此校验值与码单中的总校验值是否一致,若不一致说明输入有误,则需要重新输入
建议:
将密文值和校验值都复制到一个文本文件中,以备录入到密码服务平台(ESSC)使用。
合成成员行行内PIK密钥(ZPK)
此密钥是行内前置与清算前置系统之间约定的加密PIN密钥。
由中心端打印明文码单下发.
SJL06-AUTH3>fk
Keylength64/128/192[1/2/3]:
2
Keytype:
001
ComponentTypeClear/Encrypted[C/E]:
C
EnternumberofComponents(2-9):
2
Entercomponent1:
********************************
Entercomponent2:
********************************
EncryptedKey:
7B4D14A7FDEAC5147B4D14A7FDEAC514
Keycheckvalue:
82E13665B4624DF5
将加密机返回的密钥密文(EncryptedKey)及校验值(Keycheckvalue)记录,同时比对此校验值与码单中的总校验值是否一致,若不一致说明输入有误,则需要重新输入。
c)ESSC软件配置
系统参数配置
建立加密机配置文件
假设两台加密机地址分别为:
192.168.1.230;192.168.1.231
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
003基础配置管理
004密码机配置文件管理
003创建密码机配置文件
按照提示输入:
(下面蓝色粗体部分为固定值不变,红色字体按照实际输入)
请输入密码机IP地址:
192.168.1.230
请输入密码机工作组编号(3位数字):
102
请输入密码机指令版本(SJL06/RACAL/SJL05):
RACAL
请输消息头的长度:
08
请输密码机说明(最多20个字符):
FIRST
请输测试指令(最多127个字符):
NC
请输测试指令成功响应标识(最多127个字符):
ND00
IP地址[192.168.1.230]
工作组[102]
消息头长度[8]
说明[FIRST]
测试指令[NC]
指令响应[ND00]
确认创建该密码机的配置文件吗?
(Y/N)Y
创建成功!
继续创建吗?
(Y/N)N
有两台加密机,则需要创建两次
执行后此步骤后,系统会自动为每台加密机创建相应的配置文件;
此配置文件路径如下:
$HOME/rec/etc/HsmCfg/192.168.1.230.CFG
$HOME/rec/etc/HsmCfg/192.168.1.231.CFG
配置加密机启动任务
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
003基础配置管理
004密码机配置文件管理
000编辑密码机组配置
例如:
#这个文件定义密码机组中包括的密码机及其工作情况
#语法为:
IP地址=自动启动的连接数量
#例如:
#192.1.1.207=2
#注意IP地址前面不能有任何字符!
#有几台密码机就要定义几个
#系统会自动根据这个文件中的定义,完成以下工作:
#1、为每台密码机创建配置文件
#2、在任务表中为每台密码机增加任务
#182.9.50.73=2
192.168.1.230=5
192.168.1.231=5
有几台密码机,就增加几行。
修改完成后保存退出。
$HOME/rec/etc/HsmCfg/hsmGrp.conf
修改系统任务定义配置表
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
003基础配置管理
000任务模块管理
002编辑任务定义文件
修改此任务配置表中的hsmTask-switchCenter进程参数;
将第一列和第二列的IP地址修改为成员行密码机实际IP地址。
修改完成后保存退出。
例如:
[hsmTask-switchCenter192.168.1.230[hsmTask-switchCenter192.168.1.230][5][hsmTask]
[hsmTask-switchCenter192.168.1.231][hsmTask-switchCenter192.168.1.231][5][hsmTask]
此配置文件路径为:
$HOME/rec/etc/unionTaskTBL.CFG
修改远程密钥更新配置参数
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
004ESSC配置管理
003远程密钥服务器配置
002编辑远程密钥管理服务器配置文件
将此远程密钥服务器管理配置文件中的第一列值修改成本成员行行号。
第二列修改成清算中心密码服务平台地址。
第三列是清算中心提供的密钥更新端口,固定为31102
第四列是文字说明
例如:
[000000000001][192.168.7.230][31102][清算中心IPPKMC]
此配置文件路径:
$HOME/rec/etc/kmConf/remoteKMSvr.conf
配置本地密钥更新配置参数
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
004ESSC配置管理
002本地密钥服务器配置
002编辑本地密钥管理服务器配置文件
将此文件中的第二列修改成本成员行的密码服务平台地址。
其他列保持不变。
[102][127.0.0.1][31102][RACAL测试密码机组]
此配置文件路径:
$HOME/rec/etc/kmConf/localKMSvr.conf
启动密码服务平台
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下选择:
000启动系统
示例如下:
Step1.Start...
欢迎使用密码服务系统
确认启动密码服务系统吗(Y/N)?
y
检查密码库......
checkDesKeyDBfileOK!
正在启动密码服务系统......
正在加载环境资源...
UnionReloadTaskTBLOK!
(10096)inmngUnionLog:
:
UnionReloadLogFileTBLOK!
UnionAutoLoadSJL06IntoSJL06MDLOK!
(10098)inmngMsgBuf:
:
UnionReloadMsgBufDefOK!
(10099)inmngREC:
:
UnionReloadRECOK!
UnionReloadSoftErrCodeTBLOK!
UnionReloadCommConfTBLOK!
UnionReloadEsscResSpierClientTBLOK!
(10103)inmngTransSpierBuf:
:
UnionReloadTransSpierBufDefOK!
UnionLoadDesKeyDBIntoMemoryOK!
UnionLoadKeyDBBackupServerIntoMemoryOK!
inmngAppConf:
:
UnionReloadAppTableOK!
inmngLocalKMSvr:
:
UnionReloadLocalKMSvrOK!
inmngRemoteKMSvr:
:
UnionReloadRemoteKMSvrOK!
UnionReloadErrCodeTranslaterOK!
UnionLoadPKDBIntoMemoryOK!
inmngLocalKMSvr:
:
UnionReloadLocalKMSvrOK!
已启动以下密码服务系统任务:
(10123,20090724180719,0000b7fd62a8,tcpipSvr29102)
(10114,20090724180719,0000b7fe5168,mngTask-mp1)
(10117,20090724180719,0000b7f0e0e8,mngSJL06Grpcheck10)
(10119,20090724180719,0000b7f0a128,mngMsgBuf-clear1)
(10121,20090724180719,0000b7f1c1a8,mngTask-m1)
(10125,20090724180719,0000b7fc44e8,kmSvr31102)
(10129,20090724180719,0000b7faa2e8,hsmTask-switchCenter192.168.1.231)
(10127,20090724180719,0000b7f835a8,autoKeyManager-auto)
(10131,20090724180719,0000b7eff2e8,hsmTask-switchCenter192.168.1.230)
(10133,20090724180719,000000000000,keyDBLocalBackuper)
(10137,20090724180719,0000b7fdc6a8,keyDBSvr)
(10135,20090724180719,0000b7f5d6e8,keyDBSynchronizer)
(10138,20090724180720,0000b7fce0a8,mngTask)
TotalInstanceNum=[13]
密码服务系统启动完成!
Pressanykeytocontinue...
密钥文件参数配置
编辑成员行编号配置文件
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
010成员行密钥管理
000编辑成员行行号
将此配置文件中的第二行修改成真实的成员行编号。
成员行号为12位数字。
保存后退出。
配置ccfccb密钥定义文件
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
010成员行密钥管理
001编辑ccfccb密钥组定义文件
value值,用6.2步骤中用记录的32位密文值替换,;
chechvalue值,用6.2步骤中的得到的16位校验值替换。
Container值用真实成员行号12位数字替换
例如:
fullName=ccfccb.null.zmk;type=zmk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=null;value=48864EA979EE933748864EA979EE9337;checkvalue=82E13665B4624DF5
fullName=ccfccb.null.zpk;type=zpk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=000000000001;
fullName=ccfccb.null.zak;type=zak;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=000000000001;
编辑bank密钥定义文件
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
010成员行密钥管理
005编辑bank密钥组定义文件
value值,用6.2步骤中得到的32位密文值替换,
chechvalue值,用6.2步骤中的得到的16位校验值替换。
例如:
fullName=bank.null.zpk;type=zpk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=null;value=7B4D14A7FDEAC5147B4D14A7FDEAC514;checkValue=82E13665B4624DF5;
新增成员行ccfccb密钥
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
010成员行密钥管理
002新增成员行ccfccb密钥
完成后会提示插入3把密钥成功。
insert[ccfccb.000000000001.zmk]ok!
insert[ccfccb.000000000001.zpk]ok!
insert[ccfccb.000000000001.zak]ok!
若返回-11006错误,则说明密钥库中已经存在此成员行密钥
若返回-3024错误,说明:
密码服务平台未启动。
示例如下:
Areyousureofinsertkeysaccordingtofile[/home/qszx/rec/etc/keyGrpDef/branchID.txt]?
(Y/N)y
insert[ccfccb.000000000001.zmk]ok!
insert[ccfccb.000000000001.zpk]ok!
insert[ccfccb.000000000001.zak]ok!
realRecNum=[0001]realKeyNum=[0003]
Pressanykeytocontinue...
新增成员行bank密钥
用secu用户登录密码服务平台(ESSC)系统,或在主菜单界面下依次选择:
010成员行密钥管理
006新增成员行行内bank密钥
完成后会提示插入1把密钥成功。
insert[bank.000000000001.zpk]ok!
若返回-11006错误,则说明密钥库中已经存在此成员行密钥
若返回-3024错误,说明:
密码服务平台未启动。
示例如下:
Areyousureofinsertkeysaccordingtofile[/home/qsbranch/rec/etc/keyGrpDef/branchID.txt]?
(Y/N)y
insert[bank.000000000001.zpk]ok!
realRecNum=[0001]realKeyNum=[0001]
Pressanykeytocontinue...
成员行远程下载密钥功能验证
依次选择:
006密钥管理
003远程密钥管理
001向远程申请新的密钥
然后按照提示输入密钥名称,成员行需要向清算申请的两把密钥名称是:
ccfccb.000000000001.zpk
ccfccb.000000000001.zak
(用真实成员行行号替换000000000001即可)
申请完成后会提示:
UnionApplyDesKeyFromRemoteKMSvrOK!
示例如下:
从远程下载新的密钥
请输入密钥名称:
:
ccfccb.000000000001.zpk
确认远程下载密钥[ccfccb.000000000001.zpk]吗(Y/N)y
UnionApplyDesKeyFromRemoteKMSvrOK!
从远程下载新的密钥
请输入密钥名称:
:
ccfccb.000000000001.zak
确认远程下载密钥[ccfccb.000000000001.zak]吗(Y/N)y
UnionApplyDesKeyFromRemoteKMSvrOK!
从远程下载新的密钥
请输入密钥名称:
:
exit
成员行远程自动下载密钥验证测试
若上节“成员行远程下载密钥功能验证”通过,则可进行本步骤验证测试。
若密钥ccfccb.000000000001.zpk和ccfccb.000000000001.zak的maxEffectiveDays属性设置为36500,则,执行命令:
autoKeyManager–atonce
如果成功,如下所示:
$autoKeyManager-atonce
确认立即执行远程密钥同步策略?
(Y/N)y
totalNum=[000000]
若如上密钥一致,则应用系统就可以进行交易测试了。