下载文档原格式
SJL05金融数据加密机1.00 成都卫士通信息产业股份有限公司SJL05金融数据加密机用户手册目录1产品概述 (3)2设备清单 (3)3产品介绍 (4)3.1主要功能 (4)3.2技术指标 (6)3.3密码体制 (6)3.4工作方式 (6)3.5兼容标准 (6)3.6环境要求 (6)3.7物理特性 (7)4设备安装 (7)4.1安装条件 (7)4.2密码机示意图 (7)4.3密码机硬件安装方法 (8)4.4控制台终端管理程序安装方法 (9)5控制台终端操作 (10)5.1基本信息 (10)5.1.1版本查看 (10)5.2参数设置 (11)5.2.1打印端口配置 (11)5.2.2交易端口配置 (12)5.2.3特殊授权控制 (13)5.2.4设置通信格式 (14)5.3网络配置 (15)5.3.1安全访问设置 (15)5.3.2设置密码机IP地址 (19)5.3.3设置密码机路由 (22)5.4密钥管理 (25)5.4.1密钥注入 (25)5.4.2本地主密钥校验值 (41)5.4.3密钥备份恢复 (41)5.5密钥产生 (43)5.5.1RSA密钥 (43)5.5.2随机密钥 (44)SJL05金融数据加密机用户手册5.5.1变种密钥 (45)5.5.2非变种密钥 (47)5.6口令和令牌管理 (48)5.6.1key操作 (48)5.7恢复出厂设置 (50)5.7.1销毁密钥 (50)附录A 密码机提示音 (51)SJL05金融数据加密机用户手册1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。
该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。
鉴定委员会一致认为:“SJL05金融数据加密机设计合理,技术先进,适用范围广,保护措施可靠,操作使用方便,技术资料齐备,整体技术达到国内先进水平,填补了我国ATM/POS金融数据加密设备的空白,具有推广应用价值”。
SJL22系列⾦融数据密码机SJL22系列⾦融数据密码机集群系统技术⽩⽪书北京江南歌盟科技有限公司⼆○○四年⼆⽉⽬录第⼀章系统概述 (1)第⼆章前台功能说明 (2)第三章后台功能说明 (11)第四章系统特点 (13)第⼀章系统概述SJL22系列⾦融数据密码机集群系统是歌盟科技⽬前⾯向银⾏主机加密模式所开发的⼀套集多机热备、负载均衡、⽤户管理和实时监控为⼀体的密码机应⽤平台。
该系统针对本公司SJL22系列⾦融数据密码机的特点量⾝定做,从⽽⼤⼤加强了本公司密码机产品在银⾏应⽤系统中的可靠性和处理速度,同时也为银⾏在监控和管理密码机⽅⾯提供了前所未有的⽅便,从⽽为银⾏⾯向客户提供稳定、⾼效的⾦融服务创造了良好的基础。
SJL22系列⾦融数据密码机集群系统分为前后台两个部分组成,前台为银⾏提供实时的监控和管理功能;后台是整套集群系统的核⼼部分,⽤于分发、传递、处理各种交易和命令请求,同时负责维护整套集群系统的正常运作。
前台监控功能通过图形化的界⾯向银⾏动态展现密码机的详细状态,如:密码机的实时状态、密码机的负载状况、密码机的流量、密码机的授权状况等等,同时也为银⾏提供了动态操作后台集群系统的接⼝,使得银⾏操作⼈员在应对紧急情况的时候能够拥有更⼤的灵活性,就整套前台监控系统所提供的功能⽽⾔,国内⽬前同类产品中尚属⾸创。
后台核⼼部分基于Unix系统⾃⾝提供的通讯机制和竞争模式,对所有处于集群系统模式的密码机进⾏了统⼀管理和监控,同时可以将所有监控的信息通过监控Server传递给前台的监控端。
后台核⼼部分的另⼀主要功能是确保处于集群模式的密码机⾼效的⼯作,充分发挥负载均衡优势,并保证密码机的热备切换。
第⼆章前台功能说明1.动态操作密码机本系统最⼤的⼀个特点在于摒弃了传统密码机的静态操作模式,采⽤全动态模式进⾏处理。
本集群系统⽆需任何附加⼿段,从根本实现原理上吻合了银⾏ 7*24 不间断的模式。
动态删除密码机动态增加密码机动态修改密码机优先级动态修改密码机状态2.动态监控密码机3.动态⽤户管理4.系统参数调整第三章后台功能说明本系统不仅在前台提供了操作界⾯,并且在后台也提供了相应的命令⾏操作,从⽽使银⾏的监控⼈员有更灵活的操作⽅式,后台对于密码机的操作仍然是全动态的,并可以在集群系统启动前静态的修改配置⽂件,来实现密码机属性的永久更改。
1.1B MK到LMK的转加密<0X D002> 说明:将用BMK加密的工作密钥WK,转为用LMK加密。
消息格式:计算过程:1、读取加密机LMK。
2、用LMK对输入BMK解密,得到BMK明文。
3、用BMK明文对输入WK解密,得到WK明文。
4、用LMK对WK明文加密。
1.2L MK到BMK的转加密<0X D004> 说明:将用LMK加密的工作密钥WK,转为用BMK加密。
消息格式:计算过程:1、读取加密机LMK。
2、用LMK对输入的BMK解密,得到BMK明文。
3、用LMK对输入的WK解密,得到WK明文。
4、用BMK明文对WK明文加密。
1.3产生随钥<0X D006>说明:生成指定长度的随钥,并用LMK加密后返回其密文和CheckValue。
消息格式:1.4用LMK加密明文密钥<0X D008>说明:用LMK加密输入的明文密钥,并返回CheckValue。
消息格式1.5校验密钥<0X D00A>说明:输入指定长度的密文密钥,并校验密钥的校验码。
消息格式:1.6用密钥分量合成密钥<0X D00C>说明:用输入分量合成一个密钥,分量最多为9个。
消息格式:1.7用输入密钥加密数据<0X D012> 说明:用输入密钥对数据进行加密。
消息格式:1.8用输入密钥解密数据<0X D014> 说明:用输入密钥对数据进行加密。
消息格式:1.9数据转加密<0X D016>说明:将由Key1加密的数据,转为由Key2加密。
消息格式:计算过程:1、读取加密机LMK。
2、用LMK解密Key1,用Key1明文对数据密文解密。
3、用LMK解密Key2,用Key2明文对数据明文加密。
1.10数据掩盖<0X D018>说明:采用部算法对一段数据进行"掩盖",输出密文。
消息格式:1.11数据还原<0X D019>说明:采用部算法对一段经过"掩盖"的数据进行还原,输出明文。
SHJ0902加密机使用手册广州江南科友科技股份有限公司2010-01目录第一章支付服务密码机简介 (4)1.1密码机的功能 (4)1.2密码机的技术特点 (4)1.3密码机的技术指标 (5)1.4密码机的外形结构 (5)第二章支付服务密码机的使用 (6)2.1密码机的配套清单 (6)2.2密码机的安装 (7)2.2.1安装步骤 (7)2.2.2密码机的初始化 (7)2.2.3注入密钥 (7)2.3密码机各部分的说明 (8)2.3.1IC卡插座 (8)2.3.2密钥销毁锁 (8)2.3.3机仓后部的锁 (8)2.3.4蜂鸣器 (8)2.4密码机的接口 (8)2.5注意事项 (9)第三章密钥管理哑终端使用说明 (10)3.1使用说明 (10)第四章加密机配置 (11)4.1设置加密机IP (11)4.2查看、添加和删除客户端IP (11)4.3设置加密常用设置 (12)4.4查看加密机IP地址、网关和子网掩码 (12)第五章超级管理员,管理员和维护权限 (13)5.1加密机权限分类 (13)5.2进入相应管理权限状态 (13)5.3超级管理员,管理员以及维护员的权限。
(13)5.3.1 超级管理员权限 (13)5.3.2 管理员权限 (13)5.3.3 维护员管理员权限 (14)5.5制作三种权限卡 (14)5.5.1 IC卡的格式化 (14)5.5.2超级管理员卡的制作 (15)4.5.3管理员权限卡的制作 (17)5.5.4维护员权限卡的制作 (18)第六章密钥注入 (19)6.1加载主密钥 (19)6.2注入功能密钥 (20)6.2.1产生随机的功能密钥 (20)6.2.2产生密钥命令FK。
(21)6.2.3明文分量类索引密钥注入 (22)附录 (24)附录1所有终端命令功能表 (24)附录2LMK表 (25)附录3密钥类型表 (27)第一章支付服务密码机简介支付服务密码机是用于银行卡网络系统的支持多进程的主机节点数据密码机,直接与主机相连接,以规定的协议通讯。
金融行业密钥基础知识内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)金融行业密钥基础知识1密钥管理SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI 标准),其密钥层次如下图:图密钥层次1.1各种密钥在密钥层次中的作用1.1.1本地主密钥(Local Master Key)又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。
当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。
这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。
1.1.2区域主密钥主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。
它主要用来加密下一层次的数据密钥(如:PIK、MAK)。
1.1.3数据加密密钥(Date Encrypt Key)又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(KeyEncrypt/Exchange Key,简称KEK)。
数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC的密钥称为MAK(Mac Key)。
1.2各种密钥的注入与分发1.2.1本地主密钥通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。
一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。
SJL05系列金融数据加密机产品简介SJL05系列金融数据加密机是国内率先通过国家密码管理办公室鉴定的基于金融业务主机的应用层数据加密机,主要用于数据加密、消息来源正确性验证、密钥管理等,为计算机网络系统提供安全保密数据通信服务,防止网上的各种欺诈行为发生。
适用于各种类型的金融信息系统,尤其适用于对跨地区、跨机构的金融交易系统提供数据加密机与安全保护,可广泛用于银行、证券、公交、社保、石化、城市一卡通等计算机网络系统中。
基本功能数据加/解密PIN的验证与转发消息完整性鉴别MAC 交易完整性鉴别TACDES算法与专用金融密码算法的转换完善的IC卡密钥管理及发卡系统数字签名/验证大屏幕汉字液晶显示全硬件随机密钥的产生完善的自我保护兼容国际信用卡安全应用标准512KB 大容量密钥安全存储空间密钥产生,发放,备份,更新技术特色1 密码体制完整的安全保密体系结构经国家主管部门审定批准的金融专用密码算法完善的密钥管理系统支持标准DES、3DES支持非对称密码算法支持散列算法2 兼容性SJL05金融数据加密机支持下列标准:中国金融集成电路(IC)卡规范ANSI X.3.92 数据加密算法劳动部社会保障卡规范中石化加油IC卡规范ANSI X.9.9 信息鉴别ANSI X.9.8 PIN的管理与安全ANSI X.9.17 密钥管理ANSI X.9.19 零售金融信息的鉴别多种ATM 机用户密码格式根据用户需求定制自身安全保护物理锁防拆设计打开机盖密钥自毁人工毁钥访基于口令认证的密钥管理,权限控制机外备份密钥分段存放技术指标物理接口密钥的注入稳定性指标工作环境V.24/RS232-C 通过加密机的键盘注密钥系统平均无故障时间大于30000 小时工作温度:0℃~50℃V.35/RS422 通过IC卡注密钥存贮温度:-40℃~55℃Ethernet RJ45 尺寸:483×482×177电压:220V±10% 50Hz±3%技术规格产品类型产品明细功能特征通讯协议通信速率标准配置SJL05金融数据加密机(IV型)应用层加/解密TCP/IP 10-100M消息完整性鉴别数字签名/验证ASYNC异步9.6K-115.2K随机密钥产生PIN验证与分发SNA/SDLC 256K/2M交易完整性鉴别TAC密钥管理及发卡系统X.25 64K扩展选配API(可选择)双机备份代理(可选择)成功应用目前已经成功地在全国金卡交换总中心、上海、浙江、杭州、深圳、厦门、福州和昆明等全国60%的金卡工程以及全国已建的所有无中心POS共享系统中得到广泛应用。
SJL05金融数据加密机技术白皮书Westone Host Security Module Serial White Paper Version 4.0成都卫士通信息产业股份有限公司Chengdu Westone Information Industry Inc.目录1 技术背景 (1)2 产品概述 (1)2.1 产品简介 (1)2.2 产品功能 (2)2.3 技术指标 (3)2.3.1 密码体制 (3)2.3.2 工作方式 (3)2.3.3 接口协议 (3)2.3.4 稳定性指标 (4)2.3.5 处理能力 (4)2.3.6 工作环境 (4)3 技术特点 (5)3.1 安全性 (5)3.2 兼容性 (5)3.3 标准性 (5)3.4 成熟性 (6)3.5 稳定性 (6)4 典型应用 (6)4.1 在有中心模式中的应用 (6)4.2 在无中心模式中的应用 (8)4.3 在大集中系统中的应用 (9)4.4 在手机移动银行中的应用 (9)4.5 替换RACAL加密机 (10)4.6 与VISA、MASTER互连 (10)4.7 其它应用 (10)5 成功案例 (11)1背景随着社会信息化的发展,我国银行界的电子化工程正在经历着结构,职能和性质的转化和飞跃,柜台业务电子化和清算业务网络化已初具规模,在与国际金融接轨方面和在加速资金周转和提高资金利用效率方面,都发挥了巨大的作用。
其中,电子资金传送系统(EFT)更是国内外金融界研究的热门课题,也是全面实现金融电子化及“金卡”工程的关键技术。
EFT要解决的关键问题就是金融系统的安全。
以往银行在这方面几乎都是采取用软件加密的方式,但其加密程度低,稳定性差,极易受到攻击。
而且EFT和电子联行,直接涉及到巨额资金的传送,其风险性也是相当大的,巨额资金的诱惑更增大了被攻击的风险。
因此,研制适合我国国情的金融数据加密机已迫在眉睫。
1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下,研制出了国内唯一专用于金卡工程的SJL05金融数据加密机,主要适用于银行卡跨行支付交易的保密的ATM联网信息系统,构成金融卡实时消费转帐和销售点信息管理的保密POS联网信息加密系统,金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。
SJL06密码机
简述:
SJL06金融数据密码机是用于银行卡网络系统中的多进程的主机节点数据密码机,直接与主机相连接,以规定的协议通讯。
此密码机设计可靠,结构更合理,使用更方便,外型更加美观,并且还采用了汉字的提示界面,更适用于中国人的使用习惯。
SJL06金融数据密码机是金融网络安全系统的重要组成部分之一,主要的功能是实现对网络上传输的信息进行保护或鉴别,以保证金融信息的正确性,能够有效防止对通信数据的非法窃取或篡改。
东进金融数据密码机SJJ1617简要管理手册目录1.密码机与管理终端的连接 (3)2.启动管理工具DJHSM.exe (3)3.管理权限与角色 (5)4.原始初始化 (5)4.1.注入设备主密钥DMK (5)4.2.制作开机卡 (7)5.对称密钥管理 (10)5.1.产生随机密钥 (10)5.2.成份合成密钥 (11)5.3.删除密钥 (12)5.4.删除所有密钥 (12)5.5.导出密钥列表信息 (13)5.6. ZMK保护导出密钥 (13)5.7. ZMK保护导入密钥 (14)6.非对称密钥管理 (14)6.1.产生随机密钥 (15)6.2. 2. 删除密钥 (16)6.3. 3. 删除所有密钥 (16)6.4. 4. 导出密钥列表信息 (16)东进金融数据密码机(SJJ1617)是经过国密局认证、符合《GM/T 0045-2016金融数据密码机技术规范》、具有物理安全保护措施的金融数据硬件加密设备。
SJJ1617支持SM2、SM3、SM4国密算法,并兼容国际算法,广泛应用于金融、社保等领域。
1. 密码机与管理终端的连接东进金融数据密码机(SJJ1617)的业务应用和管理采用不同的网络端口,分别是LAN1和LAN2,分别连接业务应用系统和管理终端,如下图所示。
网络端口描述如下表所示:东进金融数据密码机(SJJ1617)通过LAN2口连接管理终端,实现对密码机的维护管理。
东进金融数据密码机(SJJ1617)支持通过串口连接管理终端,利用USB转串口线,将金融数据密码机管理串口COM2连接至管理终端的USB接口上。
2. 启动管理工具DJHSM.exe东进金融数据密码机(SJJ1617)提供专用的设备管理客户端软件,基于windowsOS,运行管理终端上,完成对密码机的维护管理功能。
客户端管理工具的主界面如下:管理功能菜单栏操作显示界面状态栏1,密码机客户端软件的管理功能包括:⏹登录:串口连接、TCP连接、断开连接、修改登录口令;⏹超级管理:设备主密钥的导入(原始初始化)和恢复操作、测试主密钥的导入(出厂初始化)、获取DMK校验值、导出设备主密钥DMK成份;用户管理(用户的添加、删除和重置登录口令);应用密钥的备份及恢复操作;⏹密钥管理:对称密钥和非对称密钥的管理(包括密钥的产生,删除等功能);⏹配置设备:包括可信客户端的添加删除操作、主机端口设置、管理端口设置、打印端口设置、设备时间设置;配置信息的导出到IC卡和从IC卡导入到加密机中;⏹IC卡管理:IC卡的格式化、修改IC卡口令、获取IC卡信息;⏹日志管理:日志的配置、导出日志、查看日志和清除日志;⏹设备状态:设备连接信息、设备自检和设备基本信息;⏹系统维护:超级维护和加密机服务升级;2,操作显示界面:显示管理客户端上的所有操作过程和响应结果信息;3,状态栏:主要显示操作者的身份(例如:超级管理员或者管理员)、加密机的主机服务状态(例如:无主密钥或者工作状态等);管理工具所有的操作都会记录在日志中,日志文件的路径在DJHSM.exe同级目录下log/ DJHSM_Log_time.txt,若是直接执行光盘上的DJHSM.exe,则不记录日志文件。
金融行业密钥基础知识1密钥管理SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI X9.17标准),其密钥层次如下图:图1.1 密钥层次1.1 各种密钥在密钥层次中的作用1.1.1本地主密钥(Local Master Key)又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。
当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。
这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。
1.1.2区域主密钥主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。
它主要用来加密下一层次的数据密钥(如:PIK、MAK)。
1.1.3数据加密密钥(Date Encrypt Key)又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(Key Encrypt/Exchange Key,简称KEK)。
数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC 的密钥称为MAK(Mac Key)。
1.2 各种密钥的注入与分发1.2.1本地主密钥通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。
一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。
S J L金融数据加密机用户手册Document number:PBGCG-0857-BTDO-0089-PTT1998SJL05金融数据加密机成都卫士通信息产业股份有限公司目录1产品概述 (1)2设备清单 (1)3产品介绍 (2)主要功能 (2)技术指标 (4)密码体制 (4)工作方式 (4)兼容标准 (4)环境要求 (4)物理特性 (5)4设备安装 (5)安装条件 (5)密码机示意图 (5)密码机硬件安装方法 (6)控制台终端管理程序安装方法 (7)5控制台终端操作 (8)基本信息 (8)版本查看 (8)参数设置 (9)打印端口配置 (9)交易端口配置 (10)特殊授权控制 (11)设置通信格式 (12)网络配置 (13)安全访问设置 (13)设置密码机IP地址 (17)设置密码机路由 (20)密钥管理 (23)密钥注入 (23)本地主密钥校验值 (32)密钥备份恢复 (32)密钥产生 (34)随机密钥 (34)口令和令牌管理 (35)key操作 (35)恢复出厂设置 (37)销毁密钥 (37)附录A 密码机提示音 (38)1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。
该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。
鉴定委员会一致认为:“SJL05金融数据加密机设计合理,技术先进,适用范围广,保护措施可靠,操作使用方便,技术资料齐备,整体技术达到国内先进水平,填补了我国ATM/POS金融数据加密设备的空白,具有推广应用价值”。
SJL05在设计时采用国际领先的技术,几年来,公司根据客户要求,不断对产品进行完善,提供友好的用户界面,已成为银行联网工程中,替代Racal、Atalla等国外加密设备的首选国内产品。
SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能,主要用于各地金融信息系统,尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护,同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中,为计算机网络系统提供安全保密数据的通信服务,防止网上的各种欺诈行为发生。
金融设备使用说明书首部说明:本使用说明书旨在为金融机构员工提供关于金融设备使用的详细指南,以确保设备在正常运行和维护过程中的安全性和可靠性。
请阅读本文档,熟悉设备的各项功能与操作规程,并按照说明书的要求进行操作,以确保设备正常运行和用户安全。
1. 设备概述1.1 设备名称:金融设备1.2 设备型号:XXXX1.3 设备功能:金融交易处理、存储和报表生成2. 产品特点2.1 安全性能金融设备经过严格测试和审查,具备以下安全性能:- 防火墙保护:设备内置防火墙,确保数据安全。
- 数据加密:设备支持数据加密传输,保护用户的隐私。
- 门禁系统:设备配备身份验证系统,仅授权人员可以操作设备。
2.2 功能介绍金融设备具备以下主要功能:- 账户管理:设备支持账户开设、查询、修改和关闭等功能。
- 交易处理:设备支持存款、取款、转账和支付等交易操作。
- 报表生成:设备可以生成交易报表和财务报表,方便机构管理和分析。
3. 使用前准备在正式使用金融设备之前,请确保以下准备工作已经完成:3.1 设备安装和连接将金融设备正确安装并连接至电源和网络,确保设备获得正常电力供应和网络连接,以保证设备的正常运行。
3.2 熟悉设备布局仔细熟悉设备的布局和各个操作按钮的位置和功能,确保在操作时能够准确选择和使用相应的功能。
4. 设备操作指南4.1 设备开机与登陆按下设备电源按钮,等待设备启动。
在启动完成后,输入正确的用户登录信息,以获得相应的权限,进入设备主界面。
4.2 账户管理操作4.2.1 开设账户在设备主界面选择“账户管理”功能,按照提示输入客户的个人信息和所需账户类型,确认无误后提交申请。
设备将自动生成账户并返回相应的账户信息。
4.2.2 查询账户在设备主界面选择“账户查询”功能,根据客户提供的个人信息查询相应账户。
系统显示账户余额和近期交易记录等信息。
4.2.3 修改账户在设备主界面选择“账户修改”功能,根据客户提供的个人信息和要修改的内容,进行相应的更改。
SJL05金融数据加密机1.00 成都卫士通信息产业股份有限公司SJL05金融数据加密机用户手册目录1产品概述 (1)2设备清单 (1)3产品介绍 (2)3.1主要功能 (2)3.2技术指标 (4)3.3密码体制 (4)3.4工作方式 (4)3.5兼容标准 (4)3.6环境要求 (4)3.7物理特性 (5)4设备安装 (5)4.1安装条件 (5)4.2密码机示意图 (5)4.3密码机硬件安装方法 (6)4.4控制台终端管理程序安装方法 (7)5控制台终端操作 (8)5.1基本信息 (8)5.1.1版本查看 (8)5.2参数设置 (9)5.2.1打印端口配置 (9)5.2.2交易端口配置 (10)5.2.3特殊授权控制 (11)5.2.4设置通信格式 (12)5.3网络配置 (13)5.3.1安全访问设置 (13)5.3.2设置密码机IP地址 (17)5.3.3设置密码机路由 (20)5.4密钥管理 (23)5.4.1密钥注入 (23)5.4.2本地主密钥校验值 (32)5.4.3密钥备份恢复 (32)5.5密钥产生 (34)5.5.1随机密钥 (34)5.6口令和令牌管理 (35)5.6.1key操作 (35)5.7恢复出厂设置 (37)5.7.1销毁密钥 (37)附录A 密码机提示音 (38)1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。
该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。
鉴定委员会一致认为:“SJL05金融数据加密机设计合理,技术先进,适用范围广,保护措施可靠,操作使用方便,技术资料齐备,整体技术达到国内先进水平,填补了我国ATM/POS金融数据加密设备的空白,具有推广应用价值”。
SJL05在设计时采用国际领先的技术,几年来,公司根据客户要求,不断对产品进行完善,提供友好的用户界面,已成为银行联网工程中,替代Racal、Atalla等国外加密设备的首选国内产品。
SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能,主要用于各地金融信息系统,尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护,同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中,为计算机网络系统提供安全保密数据的通信服务,防止网上的各种欺诈行为发生。
加密机属于敏感的电子设备,安装和使用SJL05前请仔细阅读本手册,对需要特别注意的地方,手册中将尽量加以提醒。
2设备清单请检查包装箱内下列物品是否齐全,若有缺件,请与我们联系;名称数量SJL05金融数据加密机壹台直通以太网线(灰色) 两根交叉以太网线(蓝色) 两根产品合格证壹张装箱清单壹张电源线壹根用户手册壹本用户Key 陆个光盘壹张注:本清单仅提供参考,具体以包装箱中的装箱清单为准。
3产品介绍3.1主要功能SJL05主要用于各地银行金融信息系统,尤其是对进行跨行交易的ATM/POS 联网信息系统提供数据加密与安全保护。
除此之外,还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中,为计算机网络系统提供安全保密数据通信服务,防止网上的各种欺诈行为发生。
SJL05在金卡网络中的配置如下图所示:SJL05支持如下功能:由硬件完成数据加解密对PIN 的加/解密、验证及转发消息来源正确性验证(MAC )的产生、验证及转发交易正确性验证(TAC )的产生、验证PVV 、CVV 计算和验证等利用SJL05能有效防止通信信道上的主动攻击行为。
在金融网络中,线路上传输的所有数据全是经加密机加密后的密文,明文只在加密机内部出现,所有的密钥也保存在加密机内部,可有效防止内外部人员的攻击。
下面以有中心模式的跨行交易中个人身份号PIN 在ATM/POS 网络的传输为例,个人身份号PIN 从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下:PIN 在ATM/POS 跨行交易的流程其中:顾客输入私人密码传送被ATM/POS 加密的私人密码收卡行转换私人密码传送被收卡行加密的私人密码交换中心转换私人密码传送被交换中心转换后的私人密码发卡行校验私人密码(1)顾客输入私人密钥 发卡行金卡中心 收卡行 POSATM(6) (2) (4) (3) (5) (7)3.2技术指标3.3密码体制完整的安全保密体系结构支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法CBC加密方式同时实现保密性与完整性完善的密钥管理系统3.4工作方式Ethernet:10M/100M/1000M自适应TCP/IP3.5兼容标准SJL05完全兼容以下标准:ANSI X3.92 数据加密算法ANSI X9.9 信息鉴别ANSI X9.8 PIN的管理与安全ANSI X9.17 密钥管理ANSI X9.19 零售金融信息的鉴别多种ATM机用户密码格式中国人民银行金融IC卡规范(PBOC规范)3.6环境要求工作温度:0℃~40℃存贮温度:-40℃~55℃相对湿度:20%~80%电压:220V±10%, 50Hz±3%3.7 物理特性外 型: 卧式机箱;体积尺寸: 430 mm ×400mm × 88 mm整机净重: 8Kg4 设备安装4.1 安装条件安装密码机前,请确认满足以下条件:1. 接收设备与装箱清单明细对应且完好无损;2. 密码机电源开关处于断开位置;3. 一台安装有WINDOWS 系统的PC 机;4. 确保输入电源电压稳定在220V 10%范围内。
4.2 密码机示意图密码机前面板如下图所示:图1 前面板示意图A : LOGOB :设备名称C : 电源指示灯D : 状态指示灯E : USB1F : USB2G : 控制口A B D GE F CA B C D E F G H I J K L图2 后面板示意图A:电源插座B:电源开关C:电源风扇D:触发开关 E:串口(打印口)F :USB口G:散热孔H:网口I:机箱锁J:加密卡K:毁钥孔L:接地柱4.3密码机硬件安装方法1.将密码机放在机柜里,并固定;2.连接通信线缆。
TCP/IP通信接口:将随机提供的网线一端与密码机背后的ETH1连接,另一条网线与密码机的ETH4连接。
网线的另一端插入集线器/交换机或者是主机提供的以太网口。
注意,如果另一端接集线器或交换机时,应使用直通网线,如果另一端接主机的以太网口,应使用交插网线。
确认电源开关处于断开状态后,连接电源线。
注意:如果电源开关处于闭合状态,由于插入电源插头的瞬间高压作用,可能损坏设备或缩短使用寿命。
3.打开电源开关。
此时前面板的电源状态灯红色,打开触发开关。
4.约数秒钟后,系统检测加密机状态,并开始加载系统,状态指示灯红色。
5.系统加载完毕后,密码机一声长响,状态指示灯橙色,此时表明系统已加载完毕。
密码机间隔1秒长响一声,可插入开机key,初次启动连接控制台终端,根据提示插入开机KEY,插入KEY后开机认证,进入维护状态,可以通过控制台管理密码机,并随时可以选择进入工作状态(或者直接进入工作状态)。
4.4控制台终端管理程序安装方法控制台终端管理程序是应用于SJL05金融数据加密机的一个终端控制台应用程序,用于对密码机的网络参数配置、密钥管理以及系统控制信息进行交易处理前的配置和管理。
该软件需要运行在win2k/xp的操作系统中,支持TCP/IP通信方式对密码机进行远程控制操作。
安装:运行安装光盘中的“Setup.exe”,安装控制台终端管理。
运行方式:安装控制台终端管理的PC机连通密码机ETH4网口,ETH4网口IP地址192.168.1.1,点击应用程序图标"终端管理程序.exe",程序显示下图所示初始化界面:图3.SJL05金融数据加密机用户手册图4. 管理终端主界面主界面中包含有七个功能标签页,分别为:基本信息、参数设置、网络配置、密钥管理、密钥产生、口令和令牌管理、恢复出厂设置。
5控制台终端操作5.1基本信息5.1.1版本查看在控制台终端管理程序的主菜单中,启动后的缺省页面即是“版本查看”。
其中显示了密码机的当前版本。
图5版本查看5.2参数设置参数设置是对打印端口和授权控制进行配置。
5.2.1打印端口配置选择打印端口的类型,如果是端口类型为串口则还需要选择串口号;设置是否启动打印。
对设置做出修改后点击“确定”提交设置。
注意:注入银行专有密钥或IC卡注入密钥时,系统会停止打印服务,操作完成后需要在此处手动启动打印。
图6打印端口配置5.2.2交易端口配置在该页面设置交易端口。
图7交易端口配置5.2.3特殊授权控制对“加密PIN”、“解密PIN”、“打印”、“明文注入密钥”进行权限控制,勾选需要授权的选项点击“确定”提交设置。
图8特殊授权控制5.2.4设置通信格式可以对长度域、消息头长度、消息尾长度、编码格式进行设置,设定完以后点击“确定”按钮提交。
图9设置通信格式5.3网络配置网络配置主要对密码机的IP、安全访问控制、路由信息进行配置。
5.3.1安全访问设置安全访问设置功能制定针对客户机的访问策略。
改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态,信息如下图所示。
5.3.1.1添加安全访问类型完成添加。
图11对多台主机增加访问控制的IP地址图12对单台主机增加访问控制的IP地址5.3.1.2编辑选择列表中要编辑的项,点击按钮进行编辑,窗口如下图所示,在源地址中输入要访问加密机的IP地址,在目的地址中输入加密机IP地址。
图13编辑安全访问IP5.3.1.3删除选择列表中要删除的规则,点击按钮删除该规则,窗口如下图所示图14删除安全设置记录5.3.2设置密码机IP地址设置密码机IP地址。
正常的规则都标记为,编辑过或是新加入的规则都会标记为,提交失败的规则都标记为。
改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。
图15设置加密机IP地址5.3.2.1添加点击按钮添加新规则图16添加接口5.3.2.2编辑选择列表中要编辑的项,点击按钮进行编辑图17编辑接口5.3.2.3删除选择列表中要删除的项,点击按钮删除该规则图18删除接口5.3.3设置密码机路由密码机路由功能修改密码机的路由表。
改变了规则后点击“确定”按钮提交设置或是点击“重置”按钮恢复到修正之前的状态。
图19设置加密机路由5.3.3.1添加点击按钮添加新规则图20添加加密机路由5.3.3.2编辑选择列表中要编辑的项,点击按钮进行编辑图21编辑加密机路由5.3.3.3删除选择列表中要删除的项,点击按钮删除该规则图22删除加密机路由5.4密钥管理密钥管理主要包括“密钥注入”、“密钥备份恢复”两大功能。
