SJJ1309加密机使用手册 下载本文

支持国密算法的金融数据密码机(高端)用户手册

无锡江南信息安全工程技术中心2013年04月

目 录

第1章 金融数据密码机(高端)简介 .......................................... 1

1.1 密码机的功能 .............................................................................. 1 1.2 密码机的技术特点 ...................................................................... 1 1.3 密码机的技术指标 ...................................................................... 1 1.4 密码机的外形结构 ...................................................................... 2

第2章 金融数据密码机(高端)的使用 ...................................... 4

2.1 密码机的配套清单 ...................................................................... 4 2.2 密码机的安装 .............................................................................. 4

2.2.1 安装步骤 ................................................................................................. 4 2.2.2 密码机的初始化 ..................................................................................... 4 2.2.3 注入密钥 ................................................................................................. 4

2.3 密码机各部分的说明 .................................................................. 5

2.3.1 IC卡插座 ................................................................................................. 5 2.3.2 密钥销毁锁 ............................................................................................. 5 2.3.3 机仓后部的锁 ......................................................................................... 5 2.3.4 蜂鸣器 ..................................................................................................... 5

2.4 密码机的接口 .............................................................................. 5 2.5 注意事项 ...................................................................................... 5

第3章 IC卡的管理和使用 .............................................................. 7

3.1 IC卡的功能 .................................................................................. 7 3.2 IC卡的管理 .................................................................................. 8

第4章 密钥管理哑终端使用说明 .................................................. 9

4.1 使用说明 ...................................................................................... 9

4.1.1 终端配置 ................................................................................................. 9 4.1.2 操作特点 ................................................................................................. 9 4.1.3 操作状态 ................................................................................................. 9

4.2 常用哑终端命令 ........................................................................ 10

4.2.1 哑终端命令列表 ................................................................................... 10 4.2.2 哑终端命令详解 ................................................................................... 11

用户手册

第1章 金融数据密码机(高端)简介

金融数据密码机(高端)是用于银行卡网络系统的支持多进程的主机节点数据密码机,直接与主机相连接,以规定的协议通讯。此密码机设计可靠,结构合理,使用方便,外型美观。

1.1 密码机的功能

金融数据密码机(高端)是金融网络安全系统的重要组成部分之一,主要的功能是实现对网络上传输的信息进行保护或鉴别,以保证金融信息的正确性,能够有效防止对通信数据的非法窃取或篡改。

1.2 密码机的技术特点

? 用于TCP/IP协议。

? 所有密钥库的自动维护功能,包括密钥的产生、分发、注入和销毁。支持哑终端密钥管理方式。

? 密码机具有完善的密钥保护功能,即使掉电,也能保护好密钥不被丢失;另外还有非法操作时的密钥销毁功能。 ? 具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复。

? 可以通过软件、硬件来设置、检测各部分的功能,设定系统的运行参数,具有完善的人机交互界面。

1.3 密码机的技术指标

接口方式: RJ45、并口

传输速率: 10M/100M/1G自适应 工作电压: ?220V?25%、50HZ?3 最大功耗: 60W

可 靠 性: MTBF > 20,000h

第1页

用户手册

1.4 密码机的外形结构

图1. 密码机前视图

(1) IC卡插座

此处是管理密码机的IC卡的插入口。 (2) USB1接口(备用)

此处USB接口用于连接外围USB接口设备。 (3) 密钥销毁锁 紧急时可销毁密钥。 (4) 复位开关

用于密码机的正常的复位请求。 (5) 电源开关

用于打开/关闭密码机电源。 (6) 电源灯

当密码机接通电源时,电源灯亮。 (7) 工作灯

当密码机正进行加、解密等安全处理时,工作灯亮。 (8) 报警灯

当密码机处于非正常状态时,报警灯亮,并伴有报警声。

第2页

用户手册

图2. 密码机后视图

(1) 交流电源插座孔

密码机采用的是双电源供电,有两个插座孔。 (2) COM1口

采用RJ45接口,用于连接哑终端控制口。 (3) VGA接口(备用) 用于连接外围显示设备。 (4) 机仓锁

技术人员由此打开机箱维护密码机(用户请勿私自打开,否则可能造成严重后果)。

(5) USB2、USB3(备用) 用于连接USB外围设备。 (6) TCP/IP接口3(备用) (7) TCP/IP接口2(备用) (8) TCP/IP接口1

用于连接主机和密码机之间的通讯接口。 (9) 并口

用于连接并口打印机。

第3页

用户手册

第2章 金融数据密码机(高端)的使用

2.1 密码机的配套清单

? 密码机一台 ? 使用说明书一本 ? 220V交流电源线一根 ? IC卡一套 ? 串口线一根

2.2 密码机的安装

2.2.1 安装步骤

第一步 密码机通过TCP/IP接口与主机连接,即可进入生产环境。

第二步 固定好线缆的两端,以保证其良好的接触和安全。 第三步 接上220V的交流电源线,打开密码机交流电源开关。

2.2.2 密码机的初始化

在哑终端上进行如下初始化(连接方法见第4章)。

为密码机分配IP地址、网关及子网掩码;为密码机分配一个通信端口;为密码机设置客户;为密码机设置消息头长度。

2.2.3 注入密钥

密码机在使用之前应先注入密钥。如果没有注入密钥,密码机起动后会报警(报警灯常亮)。

在哑终端上进行如下操作(方法见第4章):

完成密码机三张超级权限卡的制作,再从三张超级权限卡中导入主密钥各成份,在密码机中自动合成主密钥。

第4页

用户手册

2.3 密码机各部分的说明

2.3.1 IC卡插座

将密码机专用卡的触片面向下、向前,按照IC卡上标示的方向,对准插座方向适当用力推入即可操作,密钥成功读出后,直接拔出IC卡即可。

2.3.2 密钥销毁锁

用于销毁密钥。销毁密钥时,先将密码机电源关闭,然后密钥销毁锁转至销毁状态,1秒后密钥销毁。

2.3.3 机仓后部的锁

用来固定机仓,防止机仓盖被随意打开。

2.3.4 蜂鸣器

密码机内部还装有蜂鸣器,用于异常时报警或者在有些操作过程中给予声音提示。

2.4 密码机的接口

密码机有3个以太网口,1个串口,1个并口,1个VGA接口,3个USB接口。

2.5 注意事项

(1) 密码机必须注入密钥才能正常工作。

(2) 严禁带电打开密码机的机仓和拨/插通信线缆。 (3) 严禁强电流、高电压对密码机的冲击。

(4) 密码机不能正常工作时,请填好保修单,及时与供应商联系,以便进行检查、维修。

第5页

用户手册

(5) 若IC卡损坏,严禁随便丢弃,必须交还给配发单位,由配发单位统一处理。

第6页

用户手册

第3章 IC卡的管理和使用

3.1 IC卡的功能

密码机配发的IC卡共有6张,用于存放主密钥分量和进行授权管理。

IC卡投入使用前,应先用CONSOLE 命令format进行格式化,格式化过程中要求设置用户信息和PIN密码。IC卡的PIN密码允许重试次数为6次,如果PIN连续6次出错IC卡会被锁住。IC卡被锁住后保存在卡上的数据将不可恢复,只能将卡片重新格式化,所以必须牢记IC卡的PIN密码。

格式化完成后,可以用CONSOLE 命令create制作主密钥分量卡。一套主密钥分量卡共有三张,使用时将三张卡依次插入密码机,即在密码机内合成主密钥。

IC卡的用户信息不受PIN密码保护,而主密钥分量受PIN密码保护。

密码机使用的6张IC卡中,其中3张超级用户卡,2张管理员卡,1张维护员卡。它们的作用如下:

(1) 进入超级授权状态,必须依次使用三张超级用户卡,由三个超级用户共同授权。超级用户卡上存放有本地主密钥的分量。当插入IC卡,并且IC卡口令验证通过后,还需重新计算IC卡上分量的检查值,如果等于密码机内保存密钥的检查值,才允许授权。

(2) 进入管理员授权状态,必须依次使用两张管理员卡,由两个管理员共同授权。要设置好本地主密钥后,才能制作管理员卡。制作管理员卡时,在一号管理员卡上写入索引号为47的本地主密钥及检查值,在二号管理员卡上写入索引号为48的本地主密钥及检查值。当插入IC卡,并且IC卡口令验证通过后,还需重新计算密码机内相应本地主密钥的检查值,如果等于IC卡

第7页

用户手册

上保存的密钥的检查值,才允许授权。

(3) 进入维护员授权状态,必须使用维护员卡,由维护员授权。要设置好本地主密钥后,才能制作维护员卡。制作维护员卡时,在维护员卡上写入索引号为49的本地主密钥及检查值。当插入IC卡,并且IC卡口令验证通过后,还需重新计算密码机内索引号为49的本地主密钥的检查值,如果等于IC卡上保存的密钥的检查值,才允许授权。

3.2 IC卡的管理

IC卡一旦投入运行即属密件,如果发生丢失、被盗等情况,应根据有关规定及时做出相应的处理。

IC卡应实行分级、分人的管理制度。

第8页

用户手册

第4章 密钥管理哑终端使用说明

4.1 使用说明

严禁带电拨插密钥管理线缆,拨插密钥管理线缆时请务必先关闭密码机电源!

打开密码机前请用密钥管理线缆连接哑终端串口和密码机密钥管理端口(CONSOLE端口)。

4.1.1 终端配置

密码机CONSOLE端口的缺省配置为: 终端类型 ―― ANSI 波特率 ―― 9600 bps 数据位 ―― 8 bits 奇偶校验 ―― no parity 停止位 ―― 1 bit 数据流控制 ―― 无

4.1.2 操作特点

(1) 支持历史命令,使用上、下光标键,可以显示执行过的命令。

(2) 支持命令补齐,键入命令的前面部分,然后键入Tab键,命令会自动补齐。

(3) 输入过程中,键入Ctrl+C,会中止命令执行。 (4) 输入过程中,对于不想改变的设置,直接键入Enter。

4.1.3 操作状态

密码机有四种终端操作状态,从上至下依次是:

(1) 超级授权状态:在超级模式下可执行包括导入根主密钥在

第9页

用户手册

内的所有操作,在此状态下操作提示符为“HSM-AUTH3>”。

(2) 管理授权状态:在管理模式下可执行维护模式下的所有操作,并能执行一些经常性的密钥操作,如工作密钥的生成及分发,在此状态下操作提示符为“HSM-AUTH2>”。

(3) 维护授权状态:在维护模式下可执行与输入密钥无关的一般性操作,如密码机的参数配置,在此状态下操作提示符为“HSM-AUTH1>”。

(4) 未授权状态:打开密码机后的初始状态,可查看密码机软件版本等,在此状态下操作提示符为“HSM>”。

注意:当密码机无主密钥,或者使用的测试密钥时,哑终端默认在超级授权状态下。

4.2 常用哑终端命令

4.2.1 哑终端命令列表

命令 a buildkey c checkkey clear concfg create cs delkey destroy exit format header help history 第10页

功能 进入主机命令授权状态 分量方式输入密钥 退出主机命令授权状态 检查密钥库密钥状态 清屏 配置CONSOLE终端 制作主密钥IC卡 更改授权方式 删除指定索引号的密钥 清除密码机内的密钥 退出授权登录状态 格式化IC卡 设置消息头长度 显示命令帮助信息 显示执行过的命令 执行权限 管理员权限 管理员权限 无授权状态 无授权状态 无授权状态 维护授权状态 超级管理员权限 超级管理员权限 管理员权限 超级管理员权限 无授权状态 维护授权状态 维护授权状态 无授权状态 无授权状态 用户手册

ip list loadmk loadtestkey log login mkadmin mkworker passwd pin port prt rand reboot sm4 user ver verify 设置密码机IP地址、子网掩码、网关 显示命令列表 装入主密钥 装入测试密钥 查看密码机操作日志 进入授权状态 制作管理员授权卡 制作维护员授权卡 修改密码机口令 修改IC卡PIN密码 设置主机服务端口号 配置密码机打印口 随机数发生器 重新启动密码机 SM4算法运算器 查看、添加、删除用户IP地址 显示密码机版本信息 检查IC卡 维护授权状态 无授权状态 超级管理员权限 超级管理员权限 超级管理员权限 无授权状态 超级管理员权限 管理员权限 超级管理员权限 维护授权状态 维护授权状态 维护授权状态 无授权状态 超级管理员权限 无授权状态 维护授权状态 无授权状态 无授权状态 4.2.2 哑终端命令详解(命令不区分大小写)

4.2.2.1 a

功能:使密码机进入主机命令授权状态。

说明:密码机向主机提供的命令中,有些敏感的主机命令需要主机命令授权才可以执行。该命令可以使密码机进入授权状态,允许执行敏感的命令。

操作演示: HSM-AUTH3>a

Enter the Host Command Authorised state! 4.2.2.2 c

第11页

用户手册

功能:使密码机退出主机命令授权状态,禁止执行敏感的主机命令。

操作演示: HSM-AUTH3>c

The Host Command Authorised state is canceled! 4.2.2.3 checkkey

功能:密钥库密钥检查。可检查LMK和其他工作密钥的状态,并显示密钥检查值。

说明:命令格式:checkkey [lmk]。

例如,直接键入 checkkey,则会显示键入查看的密钥索引提示信息,输入索引后会显示密钥检查值,若要查看主密钥LMK的状态,则键入 checkkey lmk即可。

操作演示: 1.检查LMK

HSM-AUTH3>checkkey lmk MK Check Value:A65012C8 2.检查工作密钥 HSM-AUTH3>checkkey Key Index [0-7FF]:100 CheckValue:9F1F7BFF 4.2.2.4 clear

功能:清屏。 4.2.2.5 concfg

功能:配置CONSOLE端口。

说明:CONSOLE端口的默认配置为:“9600bps,8 bits, no parity, 1 stop”执行该命令会显示如下内容。输入1~6分别选择波

第12页

用户手册

特率和CONSOLE字格式。如果不需要改变当前设置可直接按Enter,或者按Ctrl + C中止命令执行。新的配置会在下次重新启动时生效。

操作演示:

HSM-AUTH3>concfg Baud Rates Word Formats

1. 1200 1. 7 bits, no parity, 1 stop 2. 2400 2. 7 bits, odd parity, 1 stop 3. 4800 3. 7 bits, even parity, 1 stop 4. 9600 4. 8 bits, no parity, 1 stop 5. 19200 5. 8 bits, odd parity, 1 stop 6. 38400 6. 8 bits, even parity, 1 stop

Enter the number of the desired option or for no change. Console baud rate: (current value = 4) (回车既默认) Console word format: (current value = 4) (回车既默认) 4.2.2.6 create

功能:制作一套主密钥IC卡。

说明:一套主密钥IC卡共三张,制作过程中根据提示依次插入。制作完主密钥IC卡,密码机内并无主密钥,需要使用loadmk命令将主密钥从IC卡导入密码机。

操作演示: HSM-AUTH3>create

Insert Card 1 and press ENTER when ready... Enter PIN: ********

Enter LMK Component 1:******************************** Retype LMK Component 1:******************************** Set the Card Protection Password:******** Re-enter the Card Protection Password:********

第13页

用户手册

Insert Card 2 and press ENTER when ready... Enter PIN: ********

Enter LMK Component 2:******************************** Retype LMK Component 2:******************************** Set the Card Protection Password:******** Re-enter the Card Protection Password:******** Insert Card 3 and press ENTER when ready... Enter PIN: ********

Enter LMK Component 3:******************************** Retype LMK Component 3:******************************** Set the Card Protection Password:******** Re-enter the Card Protection Password:******** Create Cards Completed. 4.2.2.7 cs

功能:改变密码机登录时是用卡验证还是用密码验证。 说明:选择C即为登录时用IC卡验证,选择P即为登录时用密码机口令验证。密码机口令共6个,PASSWORD1~PASSWORD6,初始密码为“66666666”。其中口令1、2、3可以在初次导入主密钥时分别设置,口令4、5在制作管理员卡的时候可以设置,口令6是在制作维护员卡的时候设置。这6个口令值都可以使用命令更改。

操作演示: HSM-AUTH3>cs

Card/Password Authorisation [C/P]:C Card Authorisation! 4.2.2.8 destroy

功能:清除密码机内的所有密钥,并将管理员口令恢复成出厂值“66666666”。

第14页

用户手册

说明:清除密钥前会提示:“Are you really to destroy the keys storage area? (Y/N): ”,键入Y,清除所有密钥,键入N,中止执行。

操作演示:

HSM-AUTH3>destroy

Are you really to destroy the keys storage area? (Y/N): Y All the keys storage area was destroyed! The password is original value now! 4.2.2.9 exit

功能:退出哑终端的授权状态,提示符显示为“HSM>”。 说明: 无。 4.2.2.10 format

功能:格式化IC卡。

说明:此命令会无条件格式化IC卡,并删除IC卡上的所有内容,同时要求重新设置IC卡的PIN密码。要检看IC卡状态,请使用verify命令。

操作演示: HSM-AUTH3>format

Are you really to format the smart card? (Y/N): Y Insert Card and press ENTER when ready... Enter new PIN for Smart Card: ******** Re-enter new PIN: ******** Enter date: 11 Enter time: 11 Enter User ID: 11 Format Complete.

第15页

用户手册

4.2.2.11 header

功能:设置主机通信格式中的消息头长度。 说明:消息头长度有效值为0~256,默认值为0。 操作演示:

HSM-AUTH3>header Current value:0

Message header length (0 - 256): 0 4.2.2.12 help

功能:查看CONSOLE命令的帮助信息。 说明:help [命令],如执行help a,会显示: Enter the authorised state Usage: a 操作演示: HSM-AUTH3>help a Enter the authorised state. Usage: a 4.2.2.13 history

功能:显示前面执行过的CONSOLE命令。 说明:密码机不记录复位前执行过的命令 操作演示:

HSM-AUTH3>history buildkey checkkey history 4.2.2.14 ip

第16页

用户手册

功能:设置密码机网络接口的IP地址、子网掩码、网关。 说明:命令格式为直接键入ip eth0,对不需要改变的设置,直接按Enter即可。

eth0 缺省IP 为“120.4.6.217”。 操作演示: HSM-AUTH3>ip

Current IP: 192.168.2.102 当前设置显示 mask: 255.255.255.0 当前设置显示 gateway: 192.168.2.2 当前设置显示 Enter IP address:192.168.2.102 Enter subnet mask:255.255.255.0 Enter gateway:192.168.2.2

The new value takes effect immediately! 4.2.2.15 list (或直接按tab键)

功能:显示CONSOLE命令列表。 说明:无。 操作演示:

HSM-AUTH3>按下TAB键

a buildkey c checkkey concfg

create cs delkey destroy format

header help history ip loadmk

loadtestkey log login mkworker passwd

pin port prt rand sm4

clear exit list mkadmin reboot 第17页

用户手册

user ver verify 4.2.2.16 loadmk

功能:将本地主密钥分量从IC卡导入密码机,并生成主密钥,保存在密码机内。

说明:主密钥IC卡一套共三张,需要根据提示依次插入3张主密钥卡。导入主密钥,会导致密码机内的其他密钥被清除。

操作演示:

HSM-AUTH3>loadmk

Insert the Smart Card1 and press ENTER when ready... Enter PIN: ********

Enter the Card Protection Password:******** Set Password 1:******** Retype Password 1:********

Insert the Smart Card2 and press ENTER when ready... Enter PIN: ********

Enter the Card Protection Password:******** Set Password 2:******** Retype Password 2:********

Insert the Smart Card3 and press ENTER when ready... Enter PIN: ********

Enter the Card Protection Password:******** Set Password 3:******** Retype Password 3:******** Please Wait......!

MK Check Value:F8D06870 Load master key OK. 4.2.2.17 loadtestkey

第18页

用户手册

功能:装入测试用的主密钥。测试主密钥会覆盖当前主密钥。 说明:不要用测试密钥投产,正试投产前应重新导入新的主密钥。

操作演示:

HSM-AUTH3>loadtestkey

Warning: load test key will overwrite all current keys. Continue? (Y/N): Y

LMK00: 941542D1E0339D7E9E60E780DCD75C58 LMK01: 85C21518B46F190744199C05F3C9A2F3 LMK02: BB5154E56F8A79A9606AAFF1EEB8E399 LMK03: ADEDD9FE583A5D21D75E5A0EE9F7C5A3 LMK04: E71770807AF7D24A15FDE03016F9B5B2 LMK05: 4EE2264F162B30E89394DBA5813895FE LMK06: 58C067BE7DB0E8250F9C808A7C613404 LMK07: 4E68412E07297E05D58E4E001D862780 LMK08: 27DAA0723F01F68923B12E20E6BCDD10 LMK09: 2F7CFA112B614C0FD68F433CABA3CEEC LMK10: A5414FFA3138AAB2CF88CD1A7C14529E LMK11: 7891DADD011CD67601D49662E828E37B LMK12: 0CD9743BADA5C445404CFD8AD3B5B62A LMK13: 8581556C2B2B7B8A3D72784CDD5C05D1 LMK14: 8B3DED00ADA45A0E245DE6D4E2C0A15A LMK15: 26AA8D3D3AF8D23D596354302B0A23C4 LMK16: 43EB4F552B2016754EB542A762CD7297 LMK17: 5CACCAD35ECEFD6B268E07583A7FAD12 LMK18: BA529B16F414AF8CE5054DA7C78CA4A4 LMK19: E593BCD3B44EC8F09C36A27CD556FE54 LMK20: 3969F297417798E84B6E682BFB6226EF LMK21: D2BA03734E316B85A34DE7842F1BDD12

第19页

用户手册

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

第20页

用户手册

4.2.2.18 log

功能:查看密码机操作日志。该日志是不能被删除的。 说明:无。 操作演示: HSM-AUTH3>log

1. Mon May 27 22:41:36 2013; AUTH3; list; Success 2. Mon May 27 22:40:17 2013; AUTH3; ip; Success 3. Mon May 27 22:39:51 2013; AUTH3; ip; Success 4. Mon May 27 22:38:49 2013; AUTH3; history; Success 5. Mon May 27 22:38:21 2013; AUTH3; help; Success 6. Mon May 27 22:38:00 2013; AUTH3; header; Success 7. Mon May 27 22:37:09 2013; AUTH3; destroy; Fail 8. Mon May 27 22:33:19 2013; AUTH3; cs; Success 9. Mon May 27 22:32:15 2013; AUTH3; concfg; Success Continue ? (Y/N): N 4.2.2.19 login

功能:进入密码机管理授权状态入口。

说明:密码机进入各种授权状态有两种方式,一种是通过口令的方式,另一种是通过IC方式进入授权状态。执行该命令,会出现提示信息,根据信息选择登录方式。

操作演示: HSM-AUTH3>login

Enter Superman State.(当前已经在超级授权状态,故提醒) 4.2.2.20 mkadmin

功能:制作管理员权限卡

说明:该命令用于制作两张管理员权限卡,管理员权限可以用

第21页

用户手册

于实现普通工作密钥的导入、删除等基本操作。此外,在制作卡的同时,还可以设置密码机口令PASSWORD4、5的密码值。

操作演示:

HSM-AUTH3>mkadmin

Insert Administrator Card 1 and press ENTER when ready... Enter PIN: ********

Set the Card Protection Password:******** Re-enter the Card Protection Password:******** Set Password 4:******** Retype Password 4:******** Make Administrator Card 1 Success.

Insert Administrator Card 2 and press ENTER when ready... Enter PIN: ********

Set the Card Protection Password:******** Re-enter the Card Protection Password:******** Set Password 5:******** Retype Password 5:******** Make Administrator Card 2 Success. 4.2.2.21 mkworker

功能:维护员权限卡

说明:该命令用于制作一张维护员权限卡,进入维护员权限可以修改IP地址、端口、客户端白名单等基本的配置功能。此外,在制作卡的同时,还可以设置密码机口令PASSWORD6的密码值。

操作演示:

HSM-AUTH3>mkworker

Insert Worker Card and press ENTER when ready... Enter PIN: ********

Set the Card Protection Password:********

第22页

用户手册

Re-enter the Card Protection Password:******** Set Password 6:******** Retype Password 6:******** Make Worker Card Success. 4.2.2.22 passwd

功能:修改密码机口令,PASSWORD1~PASSWORD6。 说明:密码机出厂口令为“66666666”。 操作演示:

HSM-AUTH3>passwd

Please Input Password Number:1(修改加密机口令1) Old password 1:******** New password 1:******** Retype New Password 1:******** Password 1 Updated Successfully 4.2.2.23 pin

功能:修改IC卡口令。 说明:无。 操作演示: HSM-AUTH3>pin

Insert Card and press ENTER when ready...(插入卡并按回车) Enter current PIN: ******** Enter new PIN: ******** Re-enter new PIN: ******** PIN change completed. 4.2.2.24 port

功能:设置密码机网络接口eth0服务端口号。

第23页

用户手册

说明:命令格式为直接键入port,对不需要改变的设置,直接按Enter即可。

操作演示: HSM-AUTH3>port

Port: (current value = 8888)8 (当前设置是8888,想要更改为8) The new value takes effect immediately! 4.2.2.25 prt

功能:查看或设置密码机打印口的相关配置。

说明:直接键入prt,会显示密码机的打印口配置参数。对不需要改变的设置,直接按Enter即可。

操作演示: HSM-AUTH3>prt Reponse Times:1 COM/LPT [C/L]:L Delay Time: 5000

New Reponse Times: (响应时间,默认不动的话直接回车) Delay Time: (打印延迟时间,默认不动的话直接回车) Set Printer Success! 4.2.2.26 rand

功能:生成并显示随机数。 说明:无。 操作演示: HSM-AUTH3>rand

Random number: 69A62A4A2588011B2681B45111025E64 4.2.2.27 reboot

功能:重新启动密码机。

第24页

用户手册

说明:无。 4.2.2.28 sm4

功能:sm4算法运算器。输入密钥和数据,显示密钥对数据的加密和解密结果。

说明:密钥和数据都应该是128比特,即32个十六进制字符,多余的输入会被自动删除。如:

Enter key: FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF Enter data: 00000000000000000000000000000000 Encrypted: E28F2C531ED6183DD16487C1614710E6 Decrypted: 00659AE2371005F06D5EF27F7045ED2D 操作演示: HSM-AUTH3>sm4

Enter key: 00000000000000000000000000000000 Enter data: 11111111111111111111111111111111 Encrypted: C8EEA6F17E9D6736951DE645A587A59A Decrypted: 92876D1E937188007118AD0B5224EFFB 4.2.2.29 user

功能:查看、添加、删除密码机用户IP。

说明:主机要调用密码机,必须在密码机上设置其IP,否则,主机无法连通密码机。

(1) 查看用户IP,直接键入user。

(2) 添加用户IP,使用 user add 192.168.0.2,其中add表示添加,192.168.0.2是用户的IP地址。

(3) 添加用户IP并与指定MAC绑定,使用 user add 192.168.0.2 11:22:33:44:55:66,其中add表示添加,192.168.0.2是用户的IP地址,11:22:33:44:55:66是指定的MAC地址。

(4) 删除用户IP,使用 user del 192.168.0.2,其中del表示删除,

第25页

用户手册

192.168.0.2是用户的IP地址。

(5) 删除所有用户IP,使用 user cls,其中cls表示删除所有用户。 操作演示:

1. HSM-AUTH3>user (查看当前客户IP) ip: 192.168.2.2 total: 1

2. HSM-AUTH3>user add 192.168.2.200 (添加IP) HSM-AUTH3>user ip: 192.168.2.2 ip: 192.168.2.200 total: 2

3. HSM-AUTH3>user del 192.168.2.200 (删除IP) HSM-AUTH3>user ip: 192.168.2.2 total: 1 4.2.2.30 ver

功能:显示密码机软件版本信息。 说明:无。 操作演示: HSM-AUTH3>ver

HSM_Version:May 23 2013; High Speed HSM; Ver1.0; WuXi JiangNan Information Secur

ity Engineering Center. 4.2.2.31 verify

功能:显示IC卡用户信息,并检查IC卡上主密钥分量的正确性。

第26页

用户手册

说明:显示IC卡用户信息不需要输入PIN,而检查主密钥分量要输入PIN。

操作演示: HSM-AUTH3>verify

Insert Card and press ENTER when ready... Date: 11 Time: 11 User: 11

Issuer: WuXi JiangNan Information Security Engineering Center Enter PIN: ******** (键入卡PIN)

Enter the Smart Card Protection Password:******** (键入卡保

护PIN)

Key component in the Smart Card 1 is OK. Component Check Value:F8D06870 4.2.2.32 buildkey

功能:以分量方式手工输入工作密钥。

说明:根据提示依次输入密钥的类型(000-049,指用相应LMK对去加密输入的密钥,此处即可区分所需合成的密钥类型)、索引、分量个数(2-9)、密钥,随即合成密钥,并显示密钥的检查值。如果索引下已存在密钥会有提示信息,确认需要删除,便会删去改索引下的密钥。

LMK密钥类型对应表: LMK对代码 被加密对象 000 002 003 004 ZMK ZPK PVK TPK 备注 区域主密钥 区域PIN密钥 PIN校验密钥 终端PIN密钥 第27页

用户手册

005 006 007 010 011 012 016 018 … 047 048 049

操作演示:

TMK TAK CVK ZAK DSK TEK ZEK SM2密钥 终端主密钥 终端认证密钥 卡校验密钥 区域认证密钥 数据存储密钥 终端报文密钥 区域报文密钥 管理员1认证 管理员2认证 维护员认证 HSM-AUTH3>buildkey

Key Type:010 (key类型,此处010代表合成密钥为ZAK) Key Index [0-7FF]:100 (密钥存储ID)

Enter Number of Components (2-9):2 (密钥分量选择) Enter Component1:******************************** Re-enter the key:******************************** Enter Component2:******************************** Re-enter the key:********************************

Encrypted Key:7E91F84E0A0F3BC6D2863AE0A40ADC34 (密钥

密文)

Key Check Value:9F1F7BFF (密钥校验值)

第28页

用户手册

4.2.2.33 delkey

功能:删除指定索引号的工作密钥。 说明:该操作需要在管理员授权状态下执行。 操作演示:

HSM-AUTH3>DELKEY Key Index [0-7FF]:100 CheckValue:9F1F7BFF Really to Continue ? (Y/N): Y Delete Key Success.

第29页