SJL05金融数据加密机用户手册20.doc

目 录 1 产品概述 1 2 设备清单 1 3 产品介绍 2 3.1 主要功能 2 3.2 技术指标 4 3.3 密码体制 4 3.4 工作方式 4 3.5 兼容标准 4 3.6 环境要求 4 3.7 物理特性 5 4 设备安装 5 4.1 安装条件 5 4.2 密码机示意图 5 4.3 密码机硬件安装方法 6 4.4 控制台终端管理程序安装方法 7 5 控制台终端操作 8 5.1 基本信息 8 5.1.1 版本查看 8 5.2 参数设置 9 5.2.1 打印端口配置 9 5.2.2 交易端口配置 10 5.2.3 特殊授权控制 11 5.2.4 设置通信格式 12 5.3 网络配置 13 5.3.1 安全访问设置 13 5.3.2 设置密码机IP地址 17 5.3.3 设置密码机路由 20 5.4 密钥管理 23 5.4.1 密钥注入 23 5.4.2 本地主密钥校验值 32 5.4.3 密钥备份恢复 32 5.5 密钥产生 34 5.5.1 随机密钥 34 5.6 口令和令牌管理 35 5.6.1 key操作 35 5.7 恢复出厂设置 37 5.7.1 销毁密钥 37 附录A 密码机提示音 38 产品概述 SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。鉴定委员会一致认为：“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值”。SJL05在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代Racal、Atalla等国外加密设备的首选国内产品。 SJL05实现了联机交易环境中需要的所有加密、解密及其他安全功能，主要用于各地金融信息系统，尤其是对进行跨行交易的ATM／POS联网信息系统提供数据加密与安全保护，同时广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据的通信服务，防止网上的各种欺诈行为发生。 加密机属于敏感的电子设备，安装和使用SJL05前请仔细阅读本手册，对需要特别注意的地方，手册中将尽量加以提醒。 设备清单 请检查包装箱内下列物品是否齐全，若有缺件，请与我们联系； 名称 数量 SJL05金融数据加密机 壹台 直通以太网线(灰色) 两根 交叉以太网线(蓝色) 两根 产品合格证 壹张 装箱清单 壹张 电源线 壹根 用户手册 壹本 用户Key 陆个 光盘 壹张 注：本清单仅提供参考，具体以包装箱中的装箱清单为准。 产品介绍 主要功能 SJL05主要用于各地银行金融信息系统，尤其是对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。除此之外，还可广泛用于证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。 SJL05在金卡网络中的配置如下图所示： SJL05支持如下功能： 由硬件完成数据加解密 对PIN的加/解密、验证及转发 消息来源正确性验证（MAC）的产生、验证及转发 交易正确性验证（TAC）的产生、验证 PVV、CVV计算和验证等 利用SJL05能有效防止通信信道上的主动攻击行为。在金融网络中，线路上传输的所有数据全是经加密机加密后的密文，明文只在加密机内部出现，所有的密钥也保存在加密机内部，可有效防止内外部人员的攻击。 下面以有中心模式的跨行交易中个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下： PIN在ATM/POS跨行交易的流程 其中： 顾客输入私人密码 传送被ATM/POS加密的私人密码 收卡行转换私人密码 传送被收卡行加密的私人密码 交换中心转换私人密码 传送被交换中心转换后的私人密码 发卡行校验私人密码 技术指标 密码体制 完整的安全保密体系结构 支持DES、3DES、RSA、Double-one-way算法和经国家主管部门审定批准的SMS3-01金融专用密码算法 CBC加密方式同时实现保密性与完整性 完善的密钥管理系统 工作方式 Ethernet：10M/100M/1000M自适应 TCP/IP 兼容标准 SJL05完全兼容以下标准: ANSI X3.92 数据加密算法 ANSI X9.9 信息鉴别 ANSI X9.8 PIN的管理与安全 ANSI X9.17 密钥管理 AN